viewimage – shutterstock.com
Mit einer App lässt sich heutzutage vieles anstellen und viele Autos lassen sich ohne sie gar nicht mehr starten.
Doch was wäre, wenn sich fremde Fahrzeuge mit einer App kontrollieren ließen? Ist sowas überhaupt möglich und wenn ja, wie könnte es funktionieren? Und was ließe sich mit einem solchen Programm alles noch anfangen?
Forscher decken Schwächen bei Kia auf
Die Cybersecurity-Forscher Sam Curry, Neiko Rivera, Justin Rhinehart sowie Ian Carroll sind dieser Frage nachgegangen. Am 11. Juni 2024 entdeckten die Experten eine Reihe von Schwachstellen in Kia-Fahrzeugen. So ließen sich Schlüsselfunktionen des PKW allein über das Nummernschild fernsteuern, berichtet Curry in seinem Weblog.
Diese Angriffe konnten aus der Ferne auf jedes der betroffenen Modelle in etwa 30 Sekunden ausgeführt werden. Hierbei warfare es unerheblich, ob ein aktives Kia Join-Abonnement vorhanden warfare, es reichte eine eigens hierfür entwickelte App.
Wie die Safety-Experten angeben, betreffen die Schwachstellen quick alle Fahrzeuge von KIA, die nach 2013 hergestellt wurden. Angreifer sind dabei nicht nur in der Lage, auf die PKW zuzugreifen, sondern haben sogar heimlich Zugriff auf smart Daten.
Persönliche Daten distant abgreifen
Ein Angreifer könnte diese Sicherheitslücke missbrauchen, um sich ohne das Wissen des Besitzers als “unsichtbarer” Zweitnutzer für das Fahrzeug zu registrieren. Damit nicht genug, wäre er nicht nur in der Lage, das Auto zu lokalisieren, sondern auch zu entsperren und sogar zu starten, wie ein Video von Curry zeigt.
Möglich ist das Ganze durch einen Fehler in der Infrastruktur des Kia-Händlers (“kiaconnect.kdealer[.]com”), die für die Fahrzeugaktivierung verwendet wird.. So sind Angreifer in der Lage sich über eine HTTP-Anfrage für ein gefälschtes Konto zu registrieren und dann Zugriffstoken zu generieren.
Das Token wird anschließend in Verbindung mit einer weiteren HTTP-Anfrage an einen APIGW-Endpunkt des Händlers und der Fahrzeugidentifikationsnummer (VIN) eines Fahrzeugs weiterverwendet. Hiermit lassen sich dann der Namen, die Telefonnummer und die E-Mail-Adresse des Fahrzeugbesitzers ergaunern.
Darüber hinaus erkannten die Forscher, dass es möglich ist, sich Zugang zum Fahrzeug eines Opfers zu verschaffen. Vier HTTP-Anfragen genügen und schon lassen sich Web-zu-Fahrzeug-Befehle ausführen.
Wie sich Autos hacken lassen
Im Element sieht der Ablauf wie folgt aus:
- Generieren des Händler-Tokens und Abrufen des “Token”-Headers aus der HTTP-Antwort mit der oben genannten Methode
- Abrufen der E-Mail-Adresse und Telefonnummer des Opfers mithilfe des Nummernschildes
- Ändern des vorherigen Zugriffs des Eigentümers unter Verwendung der durchgesickerten E-Mail-Adresse und Fahrgestellnummer, um den Angreifer als primären Kontoinhaber hinzuzufügen
- Hinzufügen des Angreifers zum Fahrzeug des Opfers durch Hinzufügen einer E-Mail-Adresse unter seiner Kontrolle als Haupteigentümer des Fahrzeugs,
- Dies ermöglicht die Ausführung beliebiger Befehle
Eine Sache wiegt hierbei besonders schwer: Während bei immer mehr Diensten eine Zwei-Faktor-Authentifizierung gefordert wird, werden Opfer hier nicht einmal informiert. Weder erhalten sie eine Benachrichtigung, dass es eine Nutzeranfrage, einen neuen Nutzer oder einen Zugriff auf das Fahrzeug gab, so die Forscher.
Hacks machen vieles möglich
Die Forscher präsentieren ein hypothetisches Angriffsszenario: So könnten ein Angreifer das Nummernschild eines Kia-Fahrzeugs in ein benutzerdefiniertes Dashboard eingeben, die Daten des Opfers abrufen und dann nach etwa 30 Sekunden Befehle am Fahrzeug ausführen.
Wie das Video zeigt, handelt es sich jedoch nicht nur um reine Hypothese, sondern ist auch in der Praxis umsetzbar. Beziehungsweise warfare, denn nachdem die Gruppe um Curry den Fahrzeughersteller im Juni 2024 über die Sicherheitslücken informierte, wurden sie umgehend behoben. Aus diesem Grund gibt es auch keine Hinweise darauf, ob diese Schwachstellen tatsächlich ausgenutzt wurden.
Wohl nicht der letzte Vorfall dieser Artwork
Ihre Entdeckung schließen die Forscher mit einem Assertion ab:
“Autos werden weiterhin Schwachstellen haben, denn so wie Meta eine Codeänderung einführen könnte, die es jemandem ermöglicht, Ihr Fb-Konto zu übernehmen, könnten die Autohersteller dasselbe für Ihr Fahrzeug tun.”