Sicherheitslücke verrät Standorte von Elektro-Zweirädern und Telefonnummern

Die API des Zweiradherstellers Supersoco hat eine schwere Sicherheitslücke, aber weder der Hersteller noch der D/AT-Importeur kümmern sich.

In Pocket speichern vorlesen Druckansicht 125 Kommentare lesen

Supersoco verkauft in vielen Ländern Motorräder und Motorroller mit Elektroantrieb – und Mobilfunkmodulen.

(Bild: VTRUST)

Lesezeit: 6 Min.
Von
  • Andrijan Möcker

This article is also available in English.

Die australische Firma Vmoto vertreibt unter der Marke Supersoco Motorroller und Motorräder mit batterielektrischem Antrieb. Meist ab Werk eingebaut: Ein per Mobilfunk angebundener GPS-Tracker inklusive Fahrzeugschnittstelle, der über den Herstellerserver Daten an die Supersoco-App liefert. Sie zeigt den Nutzern den Traktionsakkustatus, die Position, den Kilometerzähler, die Rufnummer des zugehörigen Accounts und weiteres an.

Das IT-Security-Unternehmen "VTRUST" hat nun bei Untersuchungen der Supersoco App eine schwere Sicherheitslücke in der verwendeten Anwendungsschnittstelle und dem Registrierungsprozess der Fahrzeuge gefunden. Die Lücke ermöglicht trotz fehlender Berechtigung uneingeschränktes Auslesen von fremden Fahrzeugdaten. Ob die betroffenen Eigentümer ihr Fahrzeug registriert haben, spielt dabei keine Rolle; die Daten werden ungeachtet dessen an den Herstellerserver gefunkt und gespeichert. Aufgefallen war dies zunächst am Motorrad eines Mitarbeiters von VTrust. Um auszuschließen, dass es sich nur um einige wenige Fahrzeuge mit einem Fehler handle, führte das Unternehmen ein Proof of Concept durch, welches Zugriff auf mehrere tausend Fahrzeugdatensätze ermöglichte, primär verteilt über Europa.

Im Datensatz enthalten waren sowohl registrierte als auch nicht registrierte Fahrzeuge, sowie über drei Monate alte Datensätze, die es laut Datenschutzerklärung des Herstellers gar nicht mehr geben sollte. Das c’t vorliegende Material zeigt, dass der unautorisierte Zugriff auf alle im Markt befindlichen Fahrzeuge, die mit einem GPS-Tracker ausgestattet sind, jederzeit möglich ist – inklusive aller denkbaren Szenarien für die Nutzung dieser Daten, wie das Erstellen von Bewegungsprofilen. Wahrscheinlich stellt der Datensatz mit rund 3500 Fahrzeugdaten nur einen Bruchteil der Ausmaße dar.

Die c't zugespielte Datei enthält über 3500 anonymisierte Datensätze. Jeder davon ein Elektrozweirad der Firma Supersoco. Wahrscheinlich existieren deutlich mehr betroffene Supersoco-Fahrzeuge

Nach der Entdeckung der Lücke bemühte sich VTrust um die verantwortungsvolle Offenlegung und kontaktierte den Supersoco-Importeur für Österreich und Deutschland, die Hans Leeb GmbH in Österreich. Ziel war lediglich, einen direkten Kontakt zum Hersteller zu erhalten, um technische Details der Lücke an passender Stelle offenzulegen. Trotz mehrerer E-Mails, Anrufe und Anwaltsschreiben per Fax und Einschreiben reagierte der Importeur nicht. Mehrere direkte E-Mails an den Hersteller blieben ebenfalls ohne Reaktion.

Im März 2021, nach fast vier Monaten gescheiterter Kontaktversuche, informierte VTrust das Magazin c't über die Sicherheitslücke, demonstrierte sie und übersandte einen anonymisierten Datensatz. Daraufhin bat c't den Importeur und den Hersteller um eine Stellungnahme zur fehlenden Reaktion und fragte weiter, ob bereits Sicherheitslücken bekannt seien. Telefonische Kontaktversuche in Österreich seitens c't endeten immer bei den Telefonistinnen des Importeurs, da der Verantwortliche "gerade nicht greifbar" oder "in einem Meeting" sei. In einem letzten Versuch bat c't mit ergänzenden Hinweisen zur Schwere der Lücke um einen Rückruf, der jedoch nie kam.

Einen Tag vor Ablauf der durch c't gesetzten Frist reagierte der Datenschutzbeauftragte von Supersoco in Shanghai: Man hätte das von VTrust beschriebene Problem untersucht und nichts gefunden. Außerdem wäre 2019 zusammen mit dem TÜV Rheinland (Shanghai) eine DSGVO-Überprüfung durchgeführt worden; ob Konformität erreicht wurde, sagte die Firma jedoch nicht. Die c't vorliegenden E-Mails von VTrust an Supersoco beinhalten jedoch keine Details zur Lücke, mit denen Supersoco hätte arbeiten können.

VTrust sagte gegenüber c't, dass ebenfalls eine E-Mail von Supersoco eingegangen sei, der Hersteller aber nicht weiter nach der Sicherheitslücke gefragt habe und sich stattdessen selber kümmern würde. VTrust hätte zudem kein Recht, der Presse zu erlauben, etwas zu veröffentlichen, und Supersoco würde sich rechtliche Schritte im Schadensfall vorbehalten. VTrusts erneuertes Angebot, konstruktive Gespräche zu führen, blieb unbeantwortet. Auf unsere Rückfragen, was genau Supersoco und TÜV untersucht haben, weshalb die Reaktion über Monate ausblieb und warum man nicht einfach eine kostenfreie Demonstration der Lücke von VTrust verlangt hätte, reagierte der Datenschutzbeauftragte bis Redaktionsschluss ebenfalls nicht.

Die Sicherheitslücke stellt nicht nur ein großes Datenschutzproblem für die Besitzer von Supersoco-Fahrzeugen dar. Sie begünstigt auch Diebstähle, denn der GPS-Tracker hat einen eigenen Akku und meldet dem Server, wenn keiner der beiden Traktionsakkuslots belegt ist. Sie versorgen gleichzeitig die Bordelektronik mit, sodass die Alarmanlage nicht funktioniert, wenn nicht wenigstens ein Traktionsakku eingesetzt ist. Zwar kann sich der Besitzer per App über Positionsänderungen benachrichtigen lassen; wenn der Dieb jedoch weiß, wo der Tracker sitzt und diesen entfernt, gibt es schnell keine Spur mehr.

Beispieldatensatz:{"account" : "49_157XXXXXXXX","deviceNo" : "03XXXXXXXXXXXXXX","deviceId" : XXXXX,"countryCode" : "DE","isWarnPush" : 1,"historyLocusSwitch" : 1,"userId" : XXXXX,"nowElec" : 34,"endurance" : 34,"gsm" : 2,"gps" : 5,"bindStatus" : 1,"latitude" : 49.XXXXX,"longitude" : 11.XXXXX,"powerStatus" : 0,"voltage" : 4,"loginTime" : "24/03/2021 00:11AM","lastGpsTime" : "24/03/2021 00:12AM","createTime" : "09/05/2019 03:54AM","status" : 1,"title" : "Lose connection with the battery","statusDesc" : "Your device number:03XXXXXXXXXXXXXX,Your battery has been plugged out or circuit-breaker turned off,please check the vehicle information","accumulativeRim" : 0,"sleep" : 0,"mileages" : 875.007220159274}

Besitzern von Supersoco-Zweirädern bleibt aktuell nur, sich mit ihrer Service-Werkstatt in Verbindung zu setzen, den GPS-Tracker entfernen zu lassen und optional durch eine selbst ausgewählte Tracking-Hardware zu ersetzen. Die App-Funktionalität entfällt dann zwar, das reduzierte Diebstahlrisiko und der bessere Datenschutz dürften das aber bei Weitem überwiegen.

c't hat zeitgleich zur Veröffentlichung dieses Artikels in Absprache mit VTrust die zuständigen deutschen und österreichischen Bundesbehörden sowie den Datenschutzbeauftragten der Europäischen Union auf den Fall aufmerksam gemacht. (amo)