Honda Civic 2021: Infotainment-System durch USB-Jailbreak angreifbar

Ein Softwarearchitekt entdeckte eine schwerwiegende Schwachstelle im Infotainment-System des Honda Civic aus dem Jahr 2021. Durch den vorderen USB-Anschluss konnte er unbemerkt beliebige Software installieren – darunter auch Malware. Grund dafür ist die Verwendung öffentlich bekannter Android-Testschlüssel für die Signaturprüfung der Systemupdates. Diese Lücke ermöglicht theoretisch Angriffe wie den sogenannten "EvilValet", bei dem Angreifer unbefugten Zugriff auf das Fahrzeugsystem erlangen.

Wie die Sicherheitslücke im Honda Civic funktioniert

Das Infotainment-System des Honda Civic 2021 nutzt zur Überprüfung von Softwareupdates den AOSP-Testschlüssel (Android Open Source Project). Dieser Schlüssel ist öffentlich zugänglich und dient normalerweise Entwicklern zur Erstellung von Testversionen. Da das System jedoch keine strengere Validierung vornimmt, akzeptiert es auch selbst erstellte Update-Dateien, die mit diesem Schlüssel signiert wurden.

Ein Angreifer könnte somit:

• Eine schadhafte App mit dem öffentlichen Testschlüssel signieren.
• Die Datei über den USB-Anschluss auf das System übertragen.
• Die Installation auslösen, ohne dass das System eine Warnung anzeigt.
• Im schlimmsten Fall wäre sogar eine vollständige Übernahme des Infotainment-Systems möglich.

Die Schwachstelle wurde unter dem Namen CVE-2024-**** (noch nicht offiziell zugewiesen) dokumentiert. Honda hat bisher noch keinen offiziellen Patch veröffentlicht, weshalb Nutzer weiterhin gefährdet sind.

Risiken: Von Datenklau bis zur Fahrzeugübernahme

Die entdeckte Lücke birgt erhebliche Risiken für Honda Civic-Fahrer. Ein erfolgreicher Angriff könnte folgende Szenarien ermöglichen:

• Datenexfiltration: Über das Infotainment-System könnten persönliche Daten wie Kontakte, Standortverläufe oder Medieninhalte abgegriffen werden.
• Schadsoftware-Installation: Kriminelle könnten Apps einschleusen, die sensible Informationen auslesen oder das System lahmlegen.
• "EvilValet“-Angriffe: Eine besonders gefährliche Variante, bei der Angreifer über eine manipulierte USB-Verbindung Zugriff auf weitere Fahrzeugsysteme erlangen – etwa zur Steuerung von Funktionen wie Fensterheber oder Klimaanlage.
• Remote-Angriffe: Theoretisch könnte die Lücke auch als Einfallstor für weitergehende Cyberangriffe genutzt werden, sofern das System mit dem Internet verbunden ist.

Experten warnen davor, dass solche Schwachstellen in vernetzten Fahrzeugen zunehmend zum Ziel von Hackern werden. Besonders kritisch ist die Tatsache, dass die Lücke ohne physischen Zugriff auf das Fahrzeug ausgenutzt werden kann – vorausgesetzt, der Angreifer hat kurzzeitig Zugang zum USB-Port.

Was Honda-Fahrer jetzt tun sollten

Bis ein offizieller Patch verfügbar ist, gibt es keine vollständige Lösung. Dennoch können Nutzer ihr Risiko minimieren:

• Vertrauenswürdige Update-Quellen: Installieren Sie Updates ausschließlich über offizielle Kanäle wie die Honda-App oder autorisierte Werkstätten. Vermeiden Sie selbst erstellte oder inoffizielle Dateien.
• USB-Port schützen: Vermeiden Sie das Anschließen unbekannter USB-Sticks oder Geräte an das Fahrzeug. Nutzen Sie stattdessen nur vertrauenswürdige Ladegeräte oder Datenkabel.
• Systemverhalten beobachten: Achten Sie auf ungewöhnliche Aktivitäten wie spontane Neustarts, langsame Reaktionen oder unbekannte Apps im Infotainment-System.
• Netzwerkverbindungen prüfen: Deaktivieren Sie unnötige Bluetooth- oder WLAN-Verbindungen, um Angriffsflächen zu reduzieren.
• Honda kontaktieren: Fordern Sie Informationen zum Patch-Status an und fragen Sie nach empfohlenen Sicherheitsmaßnahmen.

Sollte Honda in Zukunft ein Update bereitstellen, ist es ratsam, dieses umgehend zu installieren. Die Lücke unterstreicht einmal mehr, wie wichtig robuste Sicherheitsmechanismen in modernen Fahrzeugen sind – besonders in Zeiten zunehmender Vernetzung und autonomer Funktionen.

Ausblick: Wie Hersteller auf Cyberrisiken reagieren müssen

Die Entdeckung dieser Sicherheitslücke im Honda Civic wirft erneut Fragen zur Cybersicherheit in der Automobilbranche auf. Hersteller wie Honda sind gefordert, ihre Systeme nicht nur technisch zu härten, sondern auch Transparenz und schnelle Reaktionen auf Schwachstellen zu gewährleisten.

Zukünftig könnten folgende Maßnahmen helfen:

• Strengere Signaturprüfung: Der Einsatz von einzigartigen, hersteller-spezifischen Schlüsseln statt öffentlicher Testschlüssel.
• Regelmäßige Sicherheitsaudits: Unabhängige Prüfinstitute sollten Fahrzeugsysteme auf Schwachstellen untersuchen.
• Schnellere Patch-Verteilung: Automatisierte Update-Mechanismen, die Nutzer ohne Verzögerung erreichen.
• Nutzeraufklärung: Kampagnen, die Fahrer für Risiken wie USB-basierte Angriffe sensibilisieren.

Die Automobilindustrie steht vor der Herausforderung, Sicherheit und Benutzerfreundlichkeit in Einklang zu bringen. Die Honda-Lücke zeigt, dass selbst vermeintlich harmlose Schnittstellen wie der USB-Port zu ernsthaften Sicherheitsrisiken werden können.