The Hacker News berichtet, die Sicherheitslücken seien in den Automobil-APIs von Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce und Toyota sowie in der Software von Reviver, SiriusXM und Spireon gefunden worden. Die Schwachstellen konnten den Zugang zu Unternehmenssystemen und Benutzerinformationen ermöglichen, oder Angreifern erlauben, aus der Ferne Befehle an Autos zu senden. Die Hersteller haben inzwischen alle Sicherheitslücken nach behoben.
„Wenn ein Angreifer in der Lage wäre, Schwachstellen in den API-Endpunkten zu finden, die von Fahrzeugtelematiksystemen verwendet werden, könnte er hupen, blinken, Fahrzeuge aus der Ferne verfolgen, verriegeln/entriegeln und starten/stoppen – und das alles aus der Ferne“, so die Forscher von Yuga Labs. Die schwerwiegendste Schwachstelle betraf die Telematiklösung von Spireon. Sie hätte ausgenutzt werden können, um den kompletten Zugriff auf 15,5 Millionen Fahrzeuge zu bekommen und die Firmware der Geräte zu aktualisieren. „Dies hätte es uns ermöglicht, die Startvorgänge von Polizei-, Krankenwagen und Strafverfolgungsfahrzeugen in einer Reihe von Großstädten zu verfolgen und abzuschalten sowie Befehle an diese Fahrzeuge zu senden“, sagen Forscher von Yuga Labs.
Die bei Mercedes-Benz festgestellten Schwachstellen könnten über ein falsch konfiguriertes SSO-Authentifizierungsschema (Single Sign-On) Zugriff auf interne Anwendungen gewähren, während andere die Übernahme von Benutzerkonten und die Offenlegung sensibler Informationen ermöglichen könnten. Andere Schwachstellen ermöglichen den Zugriff oder die Änderung von Kundendatensätzen, internen Händlerportalen, die Verfolgung von Fahrzeug-GPS-Standorten in Echtzeit oder die Aktualisierung des Fahrzeugstatus als „gestohlen“.
„Mit der fortschreitenden Technologie der Automobile steigt auch die Komplexität ihrer intelligenten Softwaresysteme“, sagt Sandeep Singh von HackerOne. „Die Identifizierung von Schwachstellen in der Software-Lieferkette, die durch ‚intelligente‘ Funktionen verursacht werden, erfordert ein tiefes Wissen über Software- und Hardwaresysteme und ein Verständnis der speziellen Protokolle, die für vernetzte Fahrzeuge und Automobilsysteme spezifisch sind.“
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…