
Car Hacking: API-Schwachstellen bei 16 führenden Autoherstellern entdeckt
von Tina Siering

Der US-Amerikaner Sam Curry ist ein 23 Jahre alter Hacker, der in der Vergangenheit bereits dem Elektroautohersteller Tesla eine Sicherheitslücke erfolgreich nachweisen konnte - und dafür mit 10.000 Dollar belohnt wurde. Jetzt haben er und mehrere Mitstreiter aus seinem Team monatelang Sicherheitslücken bei 16 verschiedenen Automobilherstellern und mehreren Autoausrüstern gesucht – und offenbar überall welche gefunden. Insgesamt konnten fast überall Schwachstellen in den Programmierschnittstellen (APIs) ausfindig gemacht werden, zum Teil inklusive weitreichender Berechtigungen:
Die Schwachstellen erlaubten den Angreifern Zugriffe auf interne Bordnetzwerke, gespeicherte Benutzerinformationen, sogar die Ausführung von Code war vereinzelt möglich. Gerade nicht verwendete oder veraltete APIs, die nicht deaktiviert wurden, stellten ein perfektes Einfallstor dar. Untersucht wurden die Automobilhersteller: Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce und Toyota.
Das Team um Sam Curry hat jetzt alle Erkenntnisse aufbereitet und im Detail veröffentlicht. So entdeckten die Hacker neben den nicht ausreichend geschützten APIs auch Log-in-Dienste, die Unbefugte gar nicht erst hätten finden sollen. Über diese gelang das Zurücksetzen von Onlinekonten oder die Anmeldung in internen Systemen, wie etwa bei BMW, Mercedes-Benz und Rolls-Royce.
In anderen Fällen (Kia, Honda, Infiniti, Nissan, Acura, Hyundai und Genesis) konnten sie aus der Ferne Remote auf persönliche Daten von Autobesitzern zugreifen, Autos orten, aufschließen und sogar Motoren starten. Dies gelang offenbar durch das Übermitteln der Fahrzeug-Identifikationsnummer (FIN) per HTTP-Anfrage an den Endpunkt. Premium-Herstellern, wie beispielsweise Porsche und Ferrari – wurden interne Firmendaten, Kundendaten und Mitarbeiter-Infos über mangelhaft konfigurierte Single-Sign-On-Schnittstellen in den Händlerportalen ausgelesen, hunderte interne Tools konnten verwendet werden. Curry und seine Mitstreiter hätten sich theoretisch als Ferrari-Besitzer listen können.
Schwerwiegendes Problem bei Spireon
Außerdem nahmen sich die Ethical Hacker den veralteten Internetauftritt des Unternehmens Spireon vor. Spireon vernetzt als US-amerikanischer Anbieter unter anderem Krankenwagen und Polizeifahrzeuge miteinander. Die Cyber Spezialisten versuchten sich an der öffentlich erreichbaren Internetadresse „admin.spireo.com“. Es genügten einige Eingaben in die Maske für Nutzername und Passwort – und schon verfügten die Hacker über einen Admin-Account mit umfangreichen Nutzerrechten. Ein echter Cyberangriff hätte die Anlasser der Fahrzeuge dauerhaft blockiert - oder schlimmer - die Einsatzfahrzeuge (15,5 Millionen registrierte Fahrzeuge!) willkürlich zu angeblichen Einsatzorten geschickt.
Das Ausmaß der Sicherheitslücken bei allen betroffenen Autoherstellern liege nach Curry im normalen Bereich, lediglich “ein wenig überrascht vom Sicherheitsniveau einiger fernsteuerbarer Fahrzeugfunktionen” sei man gewesen.
Auch der deutsche Sicherheitsforscher Ruben Gonzales bestätigte in einem Interview mit SPIEGEL Online, dass es sich bei den aufgedeckten Sicherheitslücken um „völlig trivial ausnutzbare Schwachstellen in Web-Anwendungen“ handele. Bei deutschen Herstellern sei zumindest die kritische Auto-Kommunikation deutlich besser gesichert als die schlecht gewarteten Web-Portale, daher seien hier die zu erwartenden Folgen der Schwachstellen nicht so gravierend einzuschätzen wie bei anderen Unternehmen. Kein gutes Haar lässt der Sicherheitsforscher aber an Spireon. Der entdeckte Fehler im System könne nur als „grob fahrlässig“ bezeichnet werden.
Dem SPIEGEL teilte Spireon mit, man nehme alle Sicherheitsfragen sehr ernst und habe umgehend die nötigen Maßnahmen zur Abhilfe geschaffen, sowie aktiv Schritte unternommen, die Sicherheit der eigenen Produkte weiter zu optimieren.
Reaktionen der Autohersteller
Bislang reagierten die betroffenen Unternehmen sehr unterschiedlich: BMW teilte mit, die betreffende Schwachstelle sei seit Anfang November 2022 bekannt und wurde gemäß geltenden Sicherheitsstandards behandelt. Mercedes-Benz bestätigte, dass die von Curry gefundene Schwachstelle behoben sei - sie habe die Sicherheit der Fahrzeuge nicht beeinträchtigt.
Nissan schrieb in einem Tweat, dass die dortigen IT-Verantwortlichen die Bugs in der Konfiguration der APIs beseitigt hätten. Porsche teilte mit die Sicherheit und der Schutz der Car-Software habe »grundsätzlich höchste Priorität im Unternehmen.
Fazit
Laut Expertenprognosen für 2023 ist mit einer weiteren Zunahme von Angriffen auf APIs zu rechnen und die fortschreitende Digitalisierung vergrößert die Angriffsfläche. Die aufgedeckten Sicherheitslücken zeigen eine gewisse Sorglosigkeit seitens der Hersteller, die ihre schlecht gewarteten Web-Portale direkt mit kritischen IoT-Geräten – in diesem Fall Autos – verbunden haben. Das Angriffsrisiko ist enorm – entsprechend unverzichtbar sind Maßnahmen, die APIs zuverlässig und nachhaltig vor Cyberangriffen schützen.