Kia: LĂĽcken in Webportal erlaubten Forschern Fernzugriff auf Autos
Fehler in einer Webanwendung des Autoherstellers Kia hätten es Angreifern offenbar ermöglicht, Millionen von Autos zu hacken. Sie wurden bereits behoben.
- Kathrin Stoll
Eine Gruppe von Sicherheitsforschern hat kritische Schwachstellen im Webportal von Kia entdeckt. Am Donnerstag hat die Gruppe die Entdeckung öffentlich gemacht. Die Schwachstellen hätten es Angreifern ermöglicht, Millionen von Kia-Autos nur anhand des Nummernschilds binnen Sekunden aus der Ferne zu orten, zu aktivieren, zu starten und die Hupe zu betätigen. Betroffen waren Fahrzeuge mit Remote-Hardware, also solche älter als Baujahr 2013, unabhängig davon, ob sie ein aktives Kia-Connect-Abonnement hatten oder nicht. Inzwischen bestünde jedoch keine Gefahr mehr.
Um aufzuzeigen, wie einfach sie die mit dem Internet verbundenen Funktionen der Fahrzeuge aufgrund der Schwachstellen kapern konnten, entwickelten die Forscher eine eigene App, mit der sie Befehle an Fahrzeuge der betroffenen Modelle schicken konnten, sofern sie das Nummernschild kannten.
Über die Lücken in der Webanwendung konnten die Sicherheitsforscher außerdem persönliche Daten von Autobesitzern einsehen, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen und sich selbst als zweiter Benutzer dem Benutzerkonto hinzufügen, ohne dass die Fahrzeug-Eigentümer das mitbekommen hätten.
Die Schwachstellen in der Webanwendung erlaubten es den Forschern, einen Händler-Account im Kia-Händlerportal zu registrieren, über den sie auf die Kia-Händler-APIs im Backend zugreifen konnten. Von dort aus fanden sie einen Weg, Fahrzeuge betroffener Modelle zu übernehmen. Details zu ihrem Vorgehen haben sie in einem Blogpost veröffentlicht.
LĂĽcken sind mittlerweile behoben
Gegenüber dem US-amerikanischen Onlinemedium BleepingComputer sagte einer der beteiligten Forscher, Sam Curry, dass Kia die Schwachstellen mittlerweile behoben hat, die Forscher ihre App nie veröffentlicht hätten und Kia bestätigt habe, dass die Schwachstellen nie von Angreifern ausgenutzt worden waren.
Bereits im Januar 2023 hatte die Gruppe eine Liste von Schwachstellen in Webanwendungen von einer ganzen Reihe von Fahrzeugherstellern gefunden und diese an die betroffenen Unternehmen gemeldet. Bei einigen Herstellern hätten die Schwachstellen es ihnen ermöglicht, vernetzte Fahrzeug-Funktionen zumindest teilweise zu kapern, bei anderen konnten sie auf interne Systeme und Unternehmensdaten zugreifen.
Neiko Rivera, der ebenfalls an der Entdeckung beteiligt war, sagte gegenüber dem US-amerikanischen Onlinemedium Wired, er habe im Bereich Cybersicherheit in der Automobilindustrie gearbeitet und dort aus erster Hand erfahren, dass die Automobilhersteller oft ein größeres Augenmerk auf digitale Komponenten in nicht-traditionellen Computerumgebungen wie eben Autos legten als auf die Sicherheit ihrer Webanwendungen. Teilweise liege das daran, dass Sicherheitslücken in Fahrzeugcomputern schwieriger zu beheben seien. Seiner Meinung nach gibt es in der Automobilindustrie "einige eklatante Lücken zwischen eingebetteter Sicherheit und Websicherheit".
(kst)