- Sicherheitsforscher haben eine Schwachstelle im Webportal von Kia gefunden, die es ermöglicht, die Kontrolle über internetverbundene Funktionen von Millionen Fahrzeugen zu übernehmen.
- Durch die Ausnutzung dieser Schwachstelle konnten sie Autos entriegeln, die Hupe betätigen und die Zündung starten.
- Die Sicherheitslücke betrifft auch andere Marken wie Acura, Genesis, Honda, Hyundai, Infiniti und Toyota.
- Obwohl Kia die Schwachstelle behoben hat, besteht weiterhin ein großes Problem mit der Websicherheit von Fahrzeugen.
- Die Schwachstelle ermöglichte Zugriff auf persönliche Daten von Kia-Kunden und könnte zur Belästigung und Überwachung von Fahrern führen.
Sicherheitsforscher haben in der Vergangenheit verschiedene Wege gefunden, die internetverbundenen Systeme von Fahrzeugen zu kapern. Ihre Proof-of-Concept-Demonstrationen zeigten jedoch stets, dass Autohacking kein leichtes Unterfangen ist. Die Exploits, welche es den Hackern ermöglichten, ein Fahrzeug aus der Ferne zu übernehmen, benötigten jahrelange Arbeit und ausgeklügelte Tricks. Dazu zählten das Reverse Engineering des obskuren Codes in den Telematik-Einheiten der Autos, die Übermittlung schädlicher Software über Audiotöne via Radioverbindungen oder sogar das Einlegen einer CD mit einer mit Malware infizierten Musikdatei in das CD-Laufwerk des Autos.
Dieses Jahr demonstrierte eine kleine Gruppe von Hackern jedoch eine Technik, um Millionen von Fahrzeugen zu hacken und zu verfolgen, die wesentlich leichter umzusetzen ist – so einfach wie das Finden eines einfachen Fehlers auf einer Website. Heute offenbarte eine Gruppe unabhängiger Sicherheitsforscher, dass sie eine Schwachstelle in einem Webportal des Autoherstellers Kia gefunden haben, die es den Forschern ermöglichte, die Kontrolle über die internetverbundenen Funktionen der meisten modernen Kia-Fahrzeuge – Dutzende Modelle, die Millionen von Autos auf den Straßen repräsentieren – vom Smartphone eines Fahrzeugbesitzers auf das eigene Telefon oder den Computer der Hacker zu übertragen.
Ein gravierenderes Problem als gedacht
Durch die Ausnutzung dieser Schwachstelle und die Entwicklung einer eigenen App, die Befehle an Zielautos senden kann, konnten sie praktisch jedes internetverbundene Kia-Fahrzeug anhand seines Kennzeichen scannen und innerhalb von Sekunden in der Lage sein, den Standort dieses Autos zu verfolgen, es zu entriegeln, die Hupe zu betätigen oder die Zündung nach Belieben zu starten. Nachdem die Forscher Kia im Juni auf das Problem aufmerksam gemacht hatten, scheint Kia die Schwachstelle in seinem Webportal behoben zu haben. Dennoch erklärte Kia gegenüber WIRED, dass es immer noch die Erkenntnisse der Gruppe untersuche und seither auf E-Mails von WIRED nicht geantwortet habe.
Laut der Forscher ist die Behebung von Kia jedoch weit davon entfernt, den webbasierten Sicherheitsproblemen der Automobilindustrie ein Ende zu bereiten. Die von ihnen genutzte Websicherheitslücke, um Kia-Fahrzeuge zu hacken, sei in der Tat die zweite ihrer Art, die sie dem Hyundai-eigenen Unternehmen bereits gemeldet hätten. Sie hatten im letzten Jahr eine ähnliche Technik zur Übernahme digitaler Systeme von Kia entdeckt.
Wachsende Sicherheitsbedenken
Das Problem betrifft nicht nur Kia. Diese Schwachstellen betreffen auch Autos, die von Marken wie Acura, Genesis, Honda, Hyundai, Infiniti und Toyota verkauft werden. „Je mehr wir uns damit beschäftigten, desto offensichtlicher wurde, dass die Web-Sicherheit für Fahrzeuge sehr schlecht ist“, sagt Neiko „specters“ Rivera, einer der Forscher, der sowohl die neueste Kia-Schwachstelle entdeckte als auch mit einer größeren Gruppe zusammenarbeitete, die bereits im Januar des letzten Jahres eine Sammlung webbasierten Auto-Sicherheitsprobleme aufdeckte.
„Immer wieder tauchen diese einmaligen Probleme auf“, sagt Sam Curry, ein weiteres Mitglied der Autohackergruppe, der als Sicherheitsingenieur für das Web3-Unternehmen Yuga Labs arbeitet, diese Forschung aber unabhängig betrieb. „Es sind zwei Jahre vergangen, es wurde viel gute Arbeit geleistet, um dieses Problem zu beheben, aber es fühlt sich immer noch sehr kaputt an.“
Ein Fehler, der viele betrifft
Bevor sie Kia auf die neueste Sicherheitslücke aufmerksam machten, testete die Forschungsgruppe ihre webbasierte Technik an einigen Kias – Mietwagen, Autos von Freunden und sogar Autos auf Händlerplätzen – und stellte fest, dass sie in jedem Fall funktionierte. Sie demonstrierten die Technik auch vor WIRED an einem 2020 Kia Soul eines Sicherheitsforschers, den sie nur Minuten zuvor auf einem Parkplatz in Denver, Colorado, vorgestellt bekamen.
Obwohl das webbasierte Kia-Hacking weder Zugang zu Fahrzeugsystemen wie Lenkung oder Bremsen ermöglicht noch den sogenannten Immobilizer überwindet, der verhindert, dass ein Auto auch dann weggefahren wird, wenn die Zündung gestartet wird, könnte es mit Techniken zur Überwindung des Immobilizers kombiniert werden, die bei Autodieben beliebt sind. Sogar bei niedrigpreisigen Autos ohne Immobilizer könnten Diebe durch die Nutzung der Schwachstelle den Inhalt des Autos stehlen. Die Schwachstelle könnte auch erhebliche Möglichkeiten zur Belästigung von Fahrern und Passagieren sowie andere Datenschutz- und Sicherheitsbedenken aufwerfen.
„Wenn jemand Sie im Straßenverkehr geschnitten hat, könnten Sie sein Nummernschild scannen und dann immer wissen, wo er sich aufhält und in sein Auto einbrechen“, sagt Curry. „Hätten wir Kia nicht darauf aufmerksam gemacht, könnte jeder, der das Nummernschild einer Person abfragen kann, sie praktisch stalken.“ Bei Kias, die mit einer 360-Grad-Kamera ausgestattet sind, war diese Kamera ebenfalls für Hacker zugänglich. Curry behauptet, dass die Schwachstelle über die Fahrzeuge hinaus auch den Zugriff auf eine breite Palette persönlicher Informationen von Kia-Kunden ermöglichte – Namen, E-Mail-Adressen, Telefonnummern, Hausadressen und sogar vergangene Fahrtrouten in einigen Fällen – was ein potenziell massives Datenleck darstellte.
Jene Sicherheitslücke in Kias Webportal für Kunden und Händler entstand durch die unzureichende Überwachung von Befehlen, die direkt an die API der Website gesendet wurden. Dieser Missstand ermöglichte es den Forschern, die Privilegien eines Kia-Händlers zu erhalten und die Kontrolle über Fahrzeuge auf jegliches von ihnen erstellte Kundenkonto zu übertragen. „Es ist wirklich einfach. Sie haben nicht überprüft, ob ein Benutzer ein Händler ist“, sagt Rivera. „Und das ist ein ziemlich großes Problem.“
