Geöffnet und weggefahren: Sicherheitsforscher knacken Autos von Kia, Honda & Co.
Angreifer könnten über Schwachstellen in APIs und Webportalen auf persönliche Daten von Autobesitzern zugreifen und sogar Motoren starten.
(Bild: diy13/Shutterstock.com)
Mehrere Sicherheitsforscher haben verschiedene Komponenten von etlichen Automarken auf Sicherheit abgeklopft und sind auf unzählige wunde Punkte gestoßen. Sie konnten eigenen Angaben zufolge unter anderem auf interne Mitarbeiter-Daten von Autoherstellern zugreifen, Accounts von Kunden übernehmen und die komplette Kontrolle über einige Autos erlangen.
Um das zu erreichen, haben die Forscher sich verschiedene Webportale und Programmierschnittstellen (APIs) angeschaut und mehrere Schwachstellen entdeckt. Ihre Ergebnisse haben sie in einem Bericht zusammengetragen.
Aufgesperrt und weggefahren
Aus der Auflistung geht hervor, dass sie Modelle von unter anderem Kia, Honda, Hyundai und Nissan öffnen und den Motor starten konnten. Dafür benötigten sie eigenen Angaben zufolge lediglich die Fahrzeug-Identifikationsnummer (FIN) in einer HTTP-Anfrage an den Endpoint zu schicken. Bei vielen Modellen kann man diese Nummer durch die Windschutzscheibe ablesen.
Die Attacken gehen auf Schwachstellen in der SiriusXM-Plattform zurück, die weltweit bei rund 12 Millionen vernetzten Autos zum Einsatz kommen soll. Darüber berichteten die Forscher bereits im Dezember 2022. Nun haben sie weitere Ergebnisse veröffentlicht.
Zugriff auf Interna
Aufgrund von unsicher konfigurierten Single-Sign-On-Schnittstellen in etwa Händlerportalen konnten die Forscher eigenen Angaben zufolge auf unter anderem Github-Instanzen, interne Firmendaten, Mitarbeiter-Informationen und Kundendaten zugreifen. Das war etwa bei Ferrari, Mercedes-Benz, Porsche und Toyota der Fall.
Aufgrund von Schwachstellen konnten sie beispielsweise über vergleichsweise simple HTTP-Anfragen Accounts von BMW-Mitarbeitern zurücksetzen, diese übernehmen und sich so Zugriff verschaffen. In Webportalen von Mercedes und Rolls-Royce konnten die Forscher sogar eigenen Code ausführen und hatten Zugriff auf hunderte interne Tools.
Ob Autohersteller bereits Schwachstellen geschlossen haben, geht aus dem Bericht der Sicherheitsforscher nicht hervor. Aus einem Tweet geht hervor (siehe oben), dass zumindest Nissan Bugs beseitigt hat.
(des)
