Kia-Fahrzeuge ließen sich von außen anzapfen – auch ganz ohne Kabel.
Kontrolle
Sicherheitsforschern ist es gelungen, über ein Webportal des Automobilherstellers Kia Fahrzeuge unter ihre Kontrolle zu bringen. Das Wissen über das Nummernschild reichte aus, um das betreffende Fahrzeug exakt zu orten, die Türen zu öffnen und sogar den Motor zu starten oder die Hupe zu betätigen. Bei einzelnen Modellen war es zudem auf diesem Weg möglich, auf die Kameras des Gefährts zuzugreifen.
In weiterer Folge ließen sich noch viele private Daten jener Besitzerinnen und Besitzer abgreifen, die ein Kia-Connect-Abonnement haben. Dazu zählen etwa Name, Telefonnummer, E-Mail-Adresse sowie Anschrift. Zudem konnte sich ein Angreifer als zusätzlicher Benutzer bei dem jeweiligen Konto hinzufügen, ohne dass der eigentliche Besitzer das mitbekommt. Um das klarzustellen: All die zuvor erwähnten Fernsteuerungsfunktionen klappen hingegen auch bei Gefährten, wo die Besitzer kein solches Abo haben.
Millionen Fahrzeuge
Trotzdem wirft das ein äußerst negatives Bild auf die Sicherheit der Systeme von Kia. Eine entscheidende Frage dabei ist etwa, wie es überhaupt sein kann, dass über ein öffentlich aus dem Internet erreichbares Portal Fahrzeuge geortet und ferngesteuert werden können.
Ablauf des Angriffs
Im konkreten Fall war es so, dass die Forscher gleich mehrere Lücken in der Webanwendung ausgenutzt haben. So war es ihnen zunächst möglich, ein Händlerkonto anzulegen, über das sie direkt auf für Händler gedachte Schnittstellen zugreifen konnten. Eigentlich sollten Abfragen dort nur über die Fahrzeug-Identifizierungsnummer möglich sein, allerdings gibt es im Internet Seiten, die es ermöglichen, bei Angabe dieser Information die zugehörige Nummerntafel zu bekommen. Der konkret genutzte Dienst ist dabei auf die USA beschränkt.
Eine Warnung
Es ist nicht das erste Mal, dass Sicherheitsforscher Lücken in den Webanwendungen von Fahrzeugherstellern öffentlich machen, der aktuelle Vorfall ist durch seine weitreichende Übernahme zahlreicher Funktionen aber wohl der bisher schlimmste. Doch auch wenn Kia jetzt im Fokus der Berichterstattung steht, so steht zu befürchten, dass es bei anderen nur begrenzt besser aussieht, wie der Cybersicherheitsexperte Neiko Rivera gegenüber Wired zu Protokoll gibt.
Rivera hat selbst jahrelang in der Automobilindustrie gearbeitet und ist davon überzeugt, dass die Hersteller viel zu wenig Augenmerk auf die Sicherheit ihrer Webanwendungen legen. In diesem Bereich gebe es fraglos noch zahlreiche “eklatante Lücken” ähnlich jener zum aktuellen Fall. (apo, 30.9.2024)