Auto-Diebstahl: Sicherheitsforschern genügt E-Mail-Adresse als Zündschlüssel

Hyundai, Toyota, Nissan: Wegen Schwachstellen in Auto-Apps und einer Smart-Vehicle-Plattform könnten Diebe Autos mehrerer Marken knacken.

In Pocket speichern vorlesen Druckansicht 64 Kommentare lesen

(Bild: Yuga Labs, Sam Curry)

Update
Lesezeit: 2 Min.

Sicherheitsforscher von Yuga Labs konnten mit vergleichsweise wenig Aufwand verschiedene Automodelle öffnen und starten. Als Ansatzpunkt dienten die Apps für Hyundai- und Genesis-Modelle MyHyundai und MyGenesis und die Smart-Vehicle-Plattform von SiriusXM.

Ihre Erfahrungen führen sie auf Twitter aus (App, SiriusXM). In beiden Fällen mussten sie eigenen Angaben zufolge lediglich den offensichtlich unverschlüsselten Netzwerkverkehr mitschneiden, um darin Hinweise zur Anmeldung von Unbefugten zu entdecken.

Bei der Untersuchung von API Calls in der Hyundai-App stießen sie auf die E-Mail-Adresse des Autobesitzers. Im Anschluss fanden sie heraus, dass man sich einen Account ohne E-Mail-Bestätigung anlegen kann. Nach der Erstellung eines Accounts mit der erbeuteten Adresse konnten sie mittels einer HTTP-Anfrage die Gültigkeitsprüfung bei der Anmeldung austricksen und sich so Zugriff auf die App und somit das damit verbundene Auto verschaffen. Sie geben an, über diesen Weg ein Auto geöffnet zu haben.

In einem Statement versichert Hyundai, dass ihnen bislang keine Hinweise auf derartige Attacken vorliegen.

Die SiriusXM-Plattform soll weltweit bei 12 Millionen vernetzen Autos zum Einsatz kommen. Unter anderem bei Modellen von BMW, Honda, Rover und Toyota. Hier mussten die Forscher lediglich HTTP-Anfragen mit der Fahrzeug-Identifikationsnummer (FIN) an den Endpoint schicken. Diese Nummer kann man bei vielen Modellen durch die Windschutzscheibe von außen ablesen. Darüber gelangten sie eigenen Angaben zufolge an persönliche Daten des Fahrzeughalters wie Namen und Telefonnummer. Die Forscher erläutern, dass sie durch den Zugriff betroffene Autos unter anderem öffnen, starten und stoppen können.

Wann die Hersteller die Sicherheitsprobleme lösen, ist noch unbekannt.

UPDATE 07.12.2022:

Wie die BMW Group inzwischen mitteilte, sei man vom Hack nicht betroffen, da man lediglich die Radio-Funktionalität von SiriusXM nutze.

(des)