Kia

Kia: Lücke in Webportal erlaubte Forschern Fernzugriff auf Autos

Ein Fehler in einer Webanwendung des Autoherstellers Kia hätte es Angreifern offenbar ermöglicht, Millionen von Autos zu hacken. Sie wurde bereits behoben.

kia: lücke in webportal erlaubte forschern fernzugriff auf autos

Eine Gruppe von Sicherheitsforschern hat kritische Schwachstellen im Webportal von Kia entdeckt. Am Donnerstag hat die Gruppe die Entdeckung öffentlich gemacht. Die Schwachstellen hätten es Angreifern ermöglicht, Millionen von Kia-Autos nur anhand des Nummernschilds binnen Sekunden aus der Ferne zu orten, zu aktivieren, zu starten und die Hupe zu betätigen. Betroffen waren Fahrzeuge mit Remote-Hardware, also solche älter als Baujahr 2013, unabhängig davon, ob sie ein aktives Kia-Connect-Abonnement hatten oder nicht. Inzwischen bestünde jedoch keine Gefahr mehr.

Um aufzuzeigen, wie einfach sie die mit dem Internet verbundenen Funktionen der Fahrzeuge aufgrund der Schwachstellen kapern konnten, entwickelten die Forscher eine eigene App, mit der sie Befehle an Fahrzeuge der betroffenen Modelle schicken konnten, sofern sie das Nummernschild kannten.

Über die Lücken in der Webanwendung konnten die Sicherheitsforscher außerdem persönliche Daten von Autobesitzern einsehen, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen und sich selbst als zweiter Benutzer dem Benutzerkonto hinzufügen, ohne dass die Fahrzeug-Eigentümer das mitbekommen hätten.

Die Schwachstellen in der Webanwendung erlaubten es den Forschern, einen Händler-Account im Kia-Händlerportal zu registrieren, über den sie auf die Kia-Händler-APIs im Backend zugreifen konnten. Von dort aus fanden sie einen Weg, Fahrzeuge betroffener Modelle zu übernehmen. Details zu ihrem Vorgehen haben sie in einem Blogpost veröffentlicht.

Lücken sind mittlerweile behoben

Gegenüber dem US-amerikanischen Onlinemedium BleepingComputer sagte einer der beteiligten Forscher, Sam Curry, dass Kia die Schwachstellen mittlerweile behoben hat, die Forscher ihre App nie veröffentlicht hätten und Kia bestätigt habe, dass die Schwachstellen nie von Angreifern ausgenutzt worden waren.

Bereits im Januar 2023 hatte die Gruppe eine Liste von Schwachstellen in Webanwendungen von einer ganzen Reihe von Fahrzeugherstellern gefunden und diese an die betroffenen Unternehmen gemeldet. Bei einigen Herstellern hätten die Schwachstellen es ihnen ermöglicht, vernetzte Fahrzeug-Funktionen zumindest teilweise zu kapern, bei anderen konnten sie auf interne Systeme und Unternehmensdaten zugreifen.

Neiko Rivera, der ebenfalls an der Entdeckung beteiligt war, sagte gegenüber dem US-amerikanischen Onlinemedium Wired, er habe im Bereich Cybersicherheit in der Automobilindustrie gearbeitet und dort aus erster Hand erfahren, dass die Automobilhersteller oft ein größeres Augenmerk auf digitale Komponenten in nicht-traditionellen Computerumgebungen wie eben Autos konzentrierten als auf die Sicherheit ihrer Webanwendungen. Teilweise liege das daran, weil Sicherheitslücken in Fahrzeugcomputern schwieriger zu beheben seien. Seiner Meinung nach gibt es in der Automobilindustrie “einige eklatante Lücke zwischen eingebetteter Sicherheit und Websicherheit”.

(kst)

HASHTAG: Kia