Categories: Sicherheit

API-Schwachstellen in 16 großen Automarken aufgedeckt

The Hacker News berichtet, die Sicherheitslücken seien in den Automobil-APIs von Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce und Toyota sowie in der Software von Reviver, SiriusXM und Spireon gefunden worden. Die Schwachstellen konnten den Zugang zu Unternehmenssystemen und Benutzerinformationen ermöglichen, oder Angreifern erlauben, aus der Ferne Befehle an Autos zu senden. Die Hersteller haben inzwischen alle Sicherheitslücken nach behoben.

„Wenn ein Angreifer in der Lage wäre, Schwachstellen in den API-Endpunkten zu finden, die von Fahrzeugtelematiksystemen verwendet werden, könnte er hupen, blinken, Fahrzeuge aus der Ferne verfolgen, verriegeln/entriegeln und starten/stoppen – und das alles aus der Ferne“, so die Forscher von Yuga Labs. Die schwerwiegendste Schwachstelle betraf die Telematiklösung von Spireon. Sie hätte ausgenutzt werden können, um den kompletten Zugriff auf 15,5 Millionen Fahrzeuge zu bekommen und die Firmware der Geräte zu aktualisieren. „Dies hätte es uns ermöglicht, die Startvorgänge von Polizei-, Krankenwagen und Strafverfolgungsfahrzeugen in einer Reihe von Großstädten zu verfolgen und abzuschalten sowie Befehle an diese Fahrzeuge zu senden“, sagen Forscher von Yuga Labs.

Zugriff auf interne Anwendungen möglich

Die bei Mercedes-Benz festgestellten Schwachstellen könnten über ein falsch konfiguriertes SSO-Authentifizierungsschema (Single Sign-On) Zugriff auf interne Anwendungen gewähren, während andere die Übernahme von Benutzerkonten und die Offenlegung sensibler Informationen ermöglichen könnten. Andere Schwachstellen ermöglichen den Zugriff oder die Änderung von Kundendatensätzen, internen Händlerportalen, die Verfolgung von Fahrzeug-GPS-Standorten in Echtzeit oder die Aktualisierung des Fahrzeugstatus als „gestohlen“.

„Mit der fortschreitenden Technologie der Automobile steigt auch die Komplexität ihrer intelligenten Softwaresysteme“, sagt  Sandeep Singh von HackerOne. „Die Identifizierung von Schwachstellen in der Software-Lieferkette, die durch ‚intelligente‘ Funktionen verursacht werden, erfordert ein tiefes Wissen über Software- und Hardwaresysteme und ein Verständnis der speziellen Protokolle, die für vernetzte Fahrzeuge und Automobilsysteme spezifisch sind.“

Roger Homrich

Recent Posts

Studie: Sorge über Cyberangriff auf eigenes Auto

Laut CAM-Studie sehen 40 Prozent der Autofahrer vernetzte Fahrzeuge mit Software-Updates als Bedrohung an.

15 Stunden ago

Wahlen in Gefahr: KI ermöglicht maßgeschneiderte Desinformation im großen Stil

Wahlen in mehr als 60 Ländern und rund 2 Milliarden potenziellen Wählern, ist ein gefundenes…

15 Stunden ago

Firefox 131 führt temporäre Website-Berechtigungen ein

Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…

2 Tagen ago

Malware-Kampagne gefährdet Smartphones und Bankkonten

Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.

3 Tagen ago

Microsoft räumt Probleme mit Update für Windows 11 ein

Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…

3 Tagen ago

Beispielcode für Zero-Day-Lücke in Windows veröffentlicht

Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…

3 Tagen ago