Lücken in Webportal erlaubten Experten Fernzugriff auf Autos


Fehler in einer Webanwendung des Autoherstellers Kia hätten es Angreifern offenbar ermöglicht, Millionen von Autos zu hacken. Sie wurden bereits behoben. 
 
Eine Gruppe von Sicherheitsexperten hat kritische Schwachstellen im Webportal von Kia entdeckt. Am Donnerstag hat die Gruppe die Entdeckung öffentlich gemacht. Die Schwachstellen hätten es Angreifern ermöglicht, Millionen von Kia-Autos nur anhand des Nummernschilds binnen Sekunden aus der Ferne zu orten, zu aktivieren, zu starten und die Hupe zu betätigen. Betroffen waren Fahrzeuge mit Remote-Hardware, also solche älter als Baujahr 2013, unabhängig davon, ob sie ein aktives Kia-Connect-Abonnement hatten oder nicht. Inzwischen bestünde jedoch keine Gefahr mehr.
 
Um aufzuzeigen, wie einfach sie die mit dem Internet verbundenen Funktionen der Fahrzeuge aufgrund der Schwachstellen kapern konnten, entwickelten die Experten eine eigene App, mit der sie Befehle an Fahrzeuge der betroffenen Modelle schicken konnten, sofern sie das Nummernschild kannten.
 
Über die Lücken in der Webanwendung konnten die Sicherheitsexperten außerdem persönliche Daten von Autobesitzern einsehen, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen und sich selbst als zweiter Benutzer dem Benutzerkonto hinzufügen, ohne dass die Fahrzeug-Eigentümer das mitbekommen hätten.
 
Die Schwachstellen in der Webanwendung erlaubten es den Experten, einen Händler-Account im Kia-Händlerportal zu registrieren, über den sie auf die Kia-Händler-APIs im Backend zugreifen konnten. Von dort aus fanden sie einen Weg, Fahrzeuge betroffener Modelle zu übernehmen. 
 

Lücken sind mittlerweile behoben

Gegenüber der Stiftung Infotastisch Group sagte einer der beteiligten Experten, dass Kia die Schwachstellen mittlerweile behoben hat, die Sicherheitsperten ihre App nie veröffentlicht hätten und Kia bestätigt habe, dass die Schwachstellen nie von Angreifern ausgenutzt worden waren.
 
Bereits im Januar 2023 hatte die Gruppe eine Liste von Schwachstellen in Webanwendungen von einer ganzen Reihe von Fahrzeugherstellern gefunden und diese an die betroffenen Unternehmen gemeldet. Bei einigen Herstellern hätten die Schwachstellen es ihnen ermöglicht, vernetzte Fahrzeug-Funktionen zumindest teilweise zu kapern, bei anderen konnten sie auf interne Systeme und Unternehmensdaten zugreifen.

Keine Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.

Abonnieren Kommentare zum Post (Atom)