Subaru: Autos gehackt – und riesige Sammlung mit Standortdaten entdeckt
Sicherheitsforscher haben es geschafft, über das Internet die Kontrolle über Subaru-Fahrzeuge zu übernehmen. Entdeckt haben sie aber auch einen Datenschatz.
(Bild: Ryan T Thomas/Shutterstock.com)
Zwei Sicherheitsforschern in den USA ist es gelungen, über eine vergleichsweise simple Methode Zugriff auf ein Administrationsportal von Subaru zu erlangen, wo sie offenbar jedes Fahrzeug der Marke in den USA, Kanada und Japan übernehmen konnten. Einzelheiten des im November 2024 durchgeführten Hacks hat der Sicherheitsexperte Sam Curry am Donnerstag in seinem Blog veröffentlicht. Demnach hat Subaru das Einfallstor innerhalb von 24 Stunden geschlossen. Die beiden Hacker haben überdies entdeckt, dass Subaru offenbar präzise Standortdaten für mindestens ein Jahr aufbewahrt. Der Hack macht einmal mehr deutlich, welch weitgehenden Kontrollmöglichkeiten Autohersteller über verkaufte Fahrzeuge behalten.
Volle Kontrolle aus der Ferne
Die Angreifer konnten aus der Ferne weitgehende Kontrolle über Fahrzeuge erlangen, wenn sie den Nachnamen des Eigentümers oder der Eigentümerin sowie die zugehörige Postleitzahl, E-Mail-Adresse, Telefonnummer oder das Kfz-Kennzeichen kannten. Der Zugriff erfolgte über ein Portal für Angestellte des Herstellers. Hier nutzten die Hacker ein Javascript für das Zurücksetzen des Passworts, um mit E-Mail-Adressen von Subaru-Mitarbeitern Zugang zu erlangen. Eine Absicherung mittels Zwei-Faktor-Authentifizierung ließ sich im Script einfach auskommentieren.
Als Nutzer dieses Portals konnten die Hacker Fahrzeuge starten, stoppen, auf- und zuschließen sowie lokalisieren. Zudem konnten sie einsehen, wo überall der Motor des jeweiligen Fahrzeugs im Jahr davor angelassen wurde, und zwar jeweils auf fünf Meter genau. Obendrein hatten sie Zugriffe auf Adressdaten der Nutzer und Nutzerinnen, Notfallkontakte und sogar Informationen zur Kauf- beziehungsweise Verkaufsgeschichte des Fahrzeugs. Diesen Zugriff haben demnach auch Angestellte von Subaru. Ausprobiert haben die Hacker das anhand des Autos von Currys Mutter, das er ihr gegen das Versprechen gekauft hatte, es später hacken zu dürfen.
(Bild: samcurry.net)
Auf den Angriff und das Vorgehen hingewiesen, hat der japanische Autokonzern die Lücke innerhalb von 24 Stunden geschlossen. Insgesamt ähnelt das ähnlichen Hacks von Autos mit Internetanbindung. Fraglich bleibt die Entdeckung, dass Subaru umfangreiche und präzise Standortdaten vorhält, die mindestens zwölf Monate zurückreichen. Länger hatte Currys Mutter ihr Fahrzeug nicht. Subaru hat gegenüber Wired erklärt, dass nur besonders ausgebildete Angestellte die einsehen könnten. Die Daten könnten etwa helfen, um Rettungsdienste zu einem verunfallten Fahrzeug zu lotsen. Dafür brauche es aber nicht Monate an Standortdaten, meint Curry. Subaru teilte nicht mit, wie weit zurück die Datensammlung reicht.
(mho)