Autobesitzer, sitzen Sie? Cybersicherheitsforscher berichteten kürzlich über eine Schwachstelle auf einer Website des Autoherstellers Kia, die es ihnen ermöglichte, Schlüsselfunktionen von Millionen von Autos fernzusteuern.
Der vollständige Bericht wird unter veröffentlicht persönlicher Blog Sam Curry – einer der Forscher – lieferte einen Zeitplan, wie das Team den Exploit entdeckte und wie es ihm gelang, ihn zum Einbruch in Autos zu nutzen.
Zusätzlich: Android Automotive erhält ein neues QOL-Update, inklusive Unterstützung für Bluetooth-Kopfhörer
Im Juni entdeckten Forscher eine Sicherheitslücke bei „Kia-Fahrzeugen, die eine Fernsteuerung wichtiger Funktionen nur über das Nummernschild ermöglicht“. Ihr Bericht ergab, dass sie den Standort des Autos aus der Ferne verfolgen, die Türen aufschließen, die Hupe betätigen und den Motor starten konnten. Bei bestimmten Kia-Modellen ist es sogar möglich, die Kamera aus der Ferne zu aktivieren.
Das Forscher sagten gegenüber Wired Der Zugriff auf den Exploit erfolgte über einen „Fehler in einem von Kia betriebenen Webportal“, der dem Team Zugriff auf alle internetbasierten Funktionen in den Autos des Herstellers verschaffte.
Curry hat ein YouTube-Video gepostet, das zeigt, wie er einen 2022 Kia EV6 mit einer speziellen App namens KIAtool hackt. Er gab zunächst das Nummernschild des Autos und den US-Bundesstaat ein, um die VIN (Fahrzeugidentifikationsnummer) zu erhalten. Nachdem alle Daten erfasst waren, öffnete Curry die Registerkarte „Garage“, klickte auf „Entsperren“ und schon öffnete sich die Tür.
Der Fehler im Webportal ermöglichte Hackern nicht nur den Zugriff auf Kontrollfahrzeuge, sondern verschaffte ihnen auch eine Fülle persönlicher Informationen über Kia-Kunden, darunter Namen, Telefonnummern, Privatadressen und „frühere Fahrtrouten“.
Die Forscher haben Kia über die Sicherheitslücke auf der Website informiert, die inzwischen behoben wurde. Laut Kia wurde der Fehler nie in böswilliger Absicht ausgenutzt und KIAtool wurde nie der Öffentlichkeit zugänglich gemacht.
Es ist also ein Happy End, oder? Nicht zu. Weitere Override-Exploits wurden bereits bei anderen Automarken entdeckt, darunter Honda, Nissan, Mercedes, Hyundai, BMW und Ferrari.
Außerdem: Die NSA empfiehlt Ihnen, Ihr Telefon einmal pro Woche auszuschalten – hier erfahren Sie, warum
Ähnliche Mängel entdeckte Currys Team auch im Webportal von Toyota. Toyota ist sich dieses Problems bewusst und hat es sofort behoben. Es ist großartig, so schnelle Maßnahmen zu sehen, aber das Problem ist, dass es immer noch mehr gibt, wenn es einen Fehler gibt.
Leider kann der durchschnittliche Autobesitzer nicht viel tun; Autohersteller müssen Sicherheit zur obersten Priorität machen. Ich empfehle dringend, alle verfügbaren Software-Patches zu installieren, um sicherzustellen, dass Ihr Fahrzeug den besten Schutz hat.