- Sicherheitsforscher entdeckten kritische Schwachstellen im Subaru-Webportal, die unbefugten Zugriff auf Fahrzeugfunktionen ermöglichen. Curry und Shah konnten die Bewegungshistorie eines Subarus über ein Jahr hinweg detailliert nachvollziehen. Subaru schloss die Sicherheitslücken, aber die Möglichkeit des breiten Zugriffs auf Standortdaten bleibt bestehen. Die Entdeckung wirft ein Schlaglicht auf die wachsende Problematik des Datenschutzes bei modernen Fahrzeugen. Datenschutzaktivisten kritisieren, dass Autobauer persönliche Daten der Fahrer zunehmend umfangreich erfassen und nutzen.
Vor ungefähr einem Jahr hatte der Sicherheitsforscher Sam Curry seiner Mutter einen Subaru gekauft, unter der Bedingung, dass sie ihm irgendwann in naher Zukunft erlauben würde, das Auto zu hacken. Erst im November, als er für Thanksgiving nach Hause kam, begann Curry, die internetverbundenen Funktionen des 2023er Impreza zu untersuchen. Schnell fand er zusammen mit dem online arbeitenden Forscher Shubham Shah Schwachstellen in einem Subaru-Webportal, die es ihnen ermöglichten, die Kontrolle über Funktionen wie das Entriegeln des Autos, das Hupen der Hupe und das Starten der Zündung zu übernehmen – völlig beliebig von jedem Telefon oder Computer aus.
Bedrohliche Entdeckung
Besonders schockierend für Curry war die Entdeckung der Möglichkeit, den Standort des Subarus nicht nur zu einem bestimmten Zeitpunkt, sondern die gesamte Bewegungshistorie im vergangenen Jahr zu verfolgen. Die Genauigkeit der Standortkarte war dermaßen detailliert, dass er sogar Besuche bei Ärzten, Aufenthaltsorte von Freunden und den genauen Parkplatz, in dem seine Mutter vor der Kirche parkte, identifizieren konnte. „Man kann ein ganzes Jahr Standortverlauf des Fahrzeugs abrufen, wo es genau gesendet hat, oft mehrmals täglich“, beschreibt Curry die Brisanz der Lage. Diese Schwachstellen könnten nun Millionen von Subaru-Fahrzeugen im US-amerikanischen, kanadischen und japanischen Raum gefährden und sie für potenzielle Hacker angreifbar machen.
Neben der erfolgreichen Schwachstellenmeldung an Subaru hob Subaru die für Mitarbeiter bestimmten Funktionen hervor, die weiterhin eine signifikante Bedrohung der Privatsphäre darstellen. Subaru reagierte schnell auf die gemeldeten Lücken und patchte die Sicherheitslücken des Starlink-Systems. Dennoch sehen Sicherheitsforscher wie Curry und Shah darin nur einen Tropfen auf den heißen Stein in der Flut von sicherheitsrelevanten Problemen, die bei zahlreichen weiteren Autoherstellern weltweit bestehen.
Nachhaltige Folgen
Besonders alarmierend erscheint die Fähigkeit der Subaru-Mitarbeiter, auf den umfassenden Standortverlauf zuzugreifen, auch nachdem die Sicherheitslücken geschlossen wurden. Die Privatsphäre-Problematik bleibt bestehen, da die Funktionalität tief in die Unternehmensabläufe integriert ist. Ein Sprecher von Subaru betonte die Relevanz des Zugangs zu Standortdaten, um beispielsweise Ersthelfer im Falle eines Unfalls zu informieren. Curry jedoch argumentiert, dass ein derart umfassender Speicherverlauf hierfür unnötig sei. Die Bandbreite an sensiblen Informationen, die hierdurch offengelegt werden könnten, reicht von illegalen Aktivitäten bis hin zu privaten Gewohnheiten – eine gefährliche Menge an Daten, die unbemerkt gesammelt wird.
Shah und Currys Entdeckung reiht sich somit ein in die größer werdende Liste datenschutzrelevanter Bedenken rund um moderne Fahrzeuge. Datenschutzaktivisten weisen darauf hin, dass Autobauer zunehmend in das Geschäft mit persönlichen Daten einsteigen, indem sie Fahrzeuge in gewaltige Datenmaschinen verwandeln, was oft weitreichende Folgen für die Privatsphäre der Fahrer hat. Auch wenn Subaru keinen Standortdatenverkauf betreibt, bleibt die kritische Auseinandersetzung mit der umfassenden Datenerfassung in der Autobranche ein vordringliches Thema.
