Ein Fehler in einer Webanwendung des Autoherstellers Kia hätte es Angreifern offenbar ermöglicht, Millionen von Autos zu hacken. Sie wurde bereits behoben.
Eine Gruppe von Sicherheitsforschern hat kritische Schwachstellen im Webportal von Kia entdeckt. Am Donnerstag hat die Gruppe die Entdeckung öffentlich gemacht. Die Schwachstellen hätten es Angreifern ermöglicht, Millionen von Kia-Autos nur anhand des Nummernschilds binnen Sekunden aus der Ferne zu orten, zu aktivieren, zu starten und die Hupe zu betätigen. Betroffen waren Fahrzeuge mit Remote-Hardware, also solche älter als Baujahr 2013, unabhängig davon, ob sie ein aktives Kia-Connect-Abonnement hatten oder nicht. Inzwischen bestünde jedoch keine Gefahr mehr.
Um aufzuzeigen, wie einfach sie die mit dem Internet verbundenen Funktionen der Fahrzeuge aufgrund der Schwachstellen kapern konnten, entwickelten die Forscher eine eigene App, mit der sie Befehle an Fahrzeuge der betroffenen Modelle schicken konnten, sofern sie das Nummernschild kannten.
Über die Lücken in der Webanwendung konnten die Sicherheitsforscher außerdem persönliche Daten von Autobesitzern einsehen, darunter Namen, Telefonnummern, Anschriften und E-Mail-Adressen und sich selbst als zweiter Benutzer dem Benutzerkonto hinzufügen, ohne dass die Fahrzeug-Eigentümer das mitbekommen hätten.
Lücken sind mittlerweile behoben
Gegenüber dem US-amerikanischen Onlinemedium BleepingComputer sagte einer der beteiligten Forscher, Sam Curry, dass Kia die Schwachstellen mittlerweile behoben hat, die Forscher ihre App nie veröffentlicht hätten und Kia bestätigt habe, dass die Schwachstellen nie von Angreifern ausgenutzt worden waren.
Bereits im Januar 2023 hatte die Gruppe eine Liste von Schwachstellen in Webanwendungen von einer ganzen Reihe von Fahrzeugherstellern gefunden und diese an die betroffenen Unternehmen gemeldet. Bei einigen Herstellern hätten die Schwachstellen es ihnen ermöglicht, vernetzte Fahrzeug-Funktionen zumindest teilweise zu kapern, bei anderen konnten sie auf interne Systeme und Unternehmensdaten zugreifen.
Anzeige
(kst)