Vergangene Woche veröffentlichte ein Team unabhängiger Sicherheitsexperten die Entdeckung einer Sicherheitslücke im Webportal der Automarke Kia. Diese könnte ausgenutzt werden, um Dutzende von Modellen zu verfolgen und fernzusteuern.
Die Schwachstelle auf der Website ermöglichte es den Forschern, ein Auto in rund 30 Sekunden zu hacken – allein mit Hilfe des Nummernschilds. Dabei spielte es keine Rolle, ob das Auto ein aktives Kia-Connect-Abonnement hatte oder nicht.
New writeup from @_specters_ and I: we're finally allowed to disclose a vulnerability reported to Kia which would've allowed an attacker to remotely control almost all vehicles made after 2013 using only the license plate.
Full disclosure:https://t.co/e2EwvUMgqw pic.twitter.com/yMk4ihliFT
— Sam Curry (@samwcyo) September 26, 2024
Sobald das Auto mit dem Internet verbunden war, konnte es geortet, entriegelt und ferngesteuert gestartet werden. Die Hacker konnten die Autos jedoch nicht bewegen oder die Lenkung und die Bremsen steuern.
Sie konnten jedoch die Namen, Telefonnummern, E-Mail-Adressen und Privatadressen der Kunden abfragen. Die meisten modernen Fahrzeugmodelle, die nach 2013 hergestellt wurden, waren auf die eine oder andere Weise angreifbar.
Die Gruppe testete die Hacks an Mietwagen und Fahrzeugen von Freunden. In allen Fällen funktionierte es.
Einer der Hacker, Sam Curry, sagte zu WIRED: „Wenn dich jemand im Verkehr schneidet, kannst du sein Nummernschild scannen und dann jederzeit wissen, wo er ist und in sein Auto einbrechen.“
„Hätten wir Kia nicht darauf aufmerksam gemacht, könnte jeder, der das Nummernschild einer Person scannen kann, sie im Grunde verfolgen“.
Was hat Kia unternommen?
Bereits im Juni dieses Jahres machte die Gruppe Kia auf das Problem aufmerksam. WIRED berichtet: „Kia scheint die Schwachstelle in seinem Webportal behoben zu haben, obwohl das Unternehmen WIRED damals mitteilte, dass es die Ergebnisse der Gruppe noch untersuche und seitdem nicht mehr auf E-Mails von WIRED geantwortet habe“.
Dies ist weder ein neues Problem noch das Ende des potenziellen Autohackings. Dieselbe Forschergruppe hat in den letzten Jahren weitere Schwachstellen entdeckt, die unter anderem Fahrzeuge von Honda, Hyundai und BMW betreffen.
Curry schreibt in seinem Blog: “Autos werden weiterhin Schwachstellen aufweisen, denn genauso wie Meta eine Codeänderung einführen könnte, die es jemandem ermöglicht, Ihr Facebook-Konto zu übernehmen, könnten Autohersteller dasselbe mit Ihrem Fahrzeug tun.”
Bildnachweis Titelbild: Sam Curry