Car Hacking: API-Schwachstellen bei 16 führenden Autoherstellern entdeckt
von Tina Siering
Der US-Amerikaner Sam Curry ist ein 23 Jahre alter Hacker, der in der Vergangenheit bereits dem Elektroautohersteller Tesla eine Sicherheitslücke erfolgreich nachweisen konnte - und dafür mit 10.000 Dollar belohnt wurde. Jetzt haben er und mehrere Mitstreiter aus seinem Team monatelang Sicherheitslücken bei 16 verschiedenen Automobilherstellern und mehreren Autoausrüstern gesucht – und offenbar überall welche gefunden. Insgesamt konnten fast überall Schwachstellen in den Programmierschnittstellen (APIs) ausfindig gemacht werden, zum Teil inklusive weitreichender Berechtigungen:
Die Schwachstellen erlaubten den Angreifern Zugriffe auf interne Bordnetzwerke, gespeicherte Benutzerinformationen, sogar die Ausführung von Code war vereinzelt möglich. Gerade nicht verwendete oder veraltete APIs, die nicht deaktiviert wurden, stellten ein perfektes Einfallstor dar. Untersucht wurden die Automobilhersteller: Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce und Toyota.
Das Team um Sam Curry hat jetzt alle Erkenntnisse aufbereitet und im Detail veröffentlicht. So entdeckten die Hacker neben den nicht ausreichend geschützten APIs auch Log-in-Dienste, die Unbefugte gar nicht erst hätten finden sollen. Über diese gelang das Zurücksetzen von Onlinekonten oder die Anmeldung in internen Systemen, wie etwa bei BMW, Mercedes-Benz und Rolls-Royce.
In anderen Fällen (Kia, Honda, Infiniti, Nissan, Acura, Hyundai und Genesis) konnten sie aus der Ferne Remote auf persönliche Daten von Autobesitzern zugreifen, Autos orten, aufschließen und sogar Motoren starten. Dies gelang offenbar durch das Übermitteln der Fahrzeug-Identifikationsnummer (FIN) per HTTP-Anfrage an den Endpunkt. Premium-Herstellern, wie beispielsweise Porsche und Ferrari – wurden interne Firmendaten, Kundendaten und Mitarbeiter-Infos über mangelhaft konfigurierte Single-Sign-On-Schnittstellen in den Händlerportalen ausgelesen, hunderte interne Tools konnten verwendet werden. Curry und seine Mitstreiter hätten sich theoretisch als Ferrari-Besitzer listen können.
Schwerwiegendes Problem bei Spireon
Außerdem nahmen sich die Ethical Hacker den veralteten Internetauftritt des Unternehmens Spireon vor. Spireon vernetzt als US-amerikanischer Anbieter unter anderem Krankenwagen und Polizeifahrzeuge miteinander. Die Cyber Spezialisten versuchten sich an der öffentlich erreichbaren Internetadresse „admin.spireo.com“. Es genügten einige Eingaben in die Maske für Nutzername und Passwort – und schon verfügten die Hacker über einen Admin-Account mit umfangreichen Nutzerrechten. Ein echter Cyberangriff hätte die Anlasser der Fahrzeuge dauerhaft blockiert - oder schlimmer - die Einsatzfahrzeuge (15,5 Millionen registrierte Fahrzeuge!) willkürlich zu angeblichen Einsatzorten geschickt.
Das Ausmaß der Sicherheitslücken bei allen betroffenen Autoherstellern liege nach Curry im normalen Bereich, lediglich “ein wenig überrascht vom Sicherheitsniveau einiger fernsteuerbarer Fahrzeugfunktionen” sei man gewesen.
Auch der deutsche Sicherheitsforscher Ruben Gonzales bestätigte in einem Interview mit SPIEGEL Online, dass es sich bei den aufgedeckten Sicherheitslücken um „völlig trivial ausnutzbare Schwachstellen in Web-Anwendungen“ handele. Bei deutschen Herstellern sei zumindest die kritische Auto-Kommunikation deutlich besser gesichert als die schlecht gewarteten Web-Portale, daher seien hier die zu erwartenden Folgen der Schwachstellen nicht so gravierend einzuschätzen wie bei anderen Unternehmen. Kein gutes Haar lässt der Sicherheitsforscher aber an Spireon. Der entdeckte Fehler im System könne nur als „grob fahrlässig“ bezeichnet werden.
Dem SPIEGEL teilte Spireon mit, man nehme alle Sicherheitsfragen sehr ernst und habe umgehend die nötigen Maßnahmen zur Abhilfe geschaffen, sowie aktiv Schritte unternommen, die Sicherheit der eigenen Produkte weiter zu optimieren.
Reaktionen der Autohersteller
Bislang reagierten die betroffenen Unternehmen sehr unterschiedlich: BMW teilte mit, die betreffende Schwachstelle sei seit Anfang November 2022 bekannt und wurde gemäß geltenden Sicherheitsstandards behandelt. Mercedes-Benz bestätigte, dass die von Curry gefundene Schwachstelle behoben sei - sie habe die Sicherheit der Fahrzeuge nicht beeinträchtigt.
Nissan schrieb in einem Tweat, dass die dortigen IT-Verantwortlichen die Bugs in der Konfiguration der APIs beseitigt hätten. Porsche teilte mit die Sicherheit und der Schutz der Car-Software habe »grundsätzlich höchste Priorität im Unternehmen.
Fazit
Laut Expertenprognosen für 2023 ist mit einer weiteren Zunahme von Angriffen auf APIs zu rechnen und die fortschreitende Digitalisierung vergrößert die Angriffsfläche. Die aufgedeckten Sicherheitslücken zeigen eine gewisse Sorglosigkeit seitens der Hersteller, die ihre schlecht gewarteten Web-Portale direkt mit kritischen IoT-Geräten – in diesem Fall Autos – verbunden haben. Das Angriffsrisiko ist enorm – entsprechend unverzichtbar sind Maßnahmen, die APIs zuverlässig und nachhaltig vor Cyberangriffen schützen.
Brauchen Sie Unterstützung, um Ihre IT Security für 2023 aufzurüsten? Kontaktieren Sie uns!
Zum Thema passende Artikel
Finanzinstitute sind ein klassische Angriffsziel von Kriminellen. Man kennt den typischen Banküberfall maskierter Täter in Bankfilialen aus Filmen oder Polizeiberichten. Analoge Überfälle, z. B. auch auf Geldtransporter, wird es weiterhin geben. Doch die modernere, digitale Variante des Banküberfalls ist mittlerweile für viele Kriminelle sehr viel lohnenswerter. Schließlich wurden in den letzten Jahrzehnten praktisch alle Bereiche unseres Wirtschaftslebens digital transformiert. Die Transformation von Unternehmen der Finanzbranche bietet immer neue Einfallstore für digital agierende Angreifer. Der Finanzsektor betrachtet Cyberangriffe daher als derzeit größtes operationelles Risiko.
Weiterlesen … Moderne Banküberfälle: Cyberkriminelle nehmen zunehmend die Finanzbranche ins Visier
Aufgrund des Krieges in der Ukraine gibt secion eine Einschätzung der Bedrohungslage für Unternehmen ab und beleuchtet die Frage, ob verstärkt russische Angriffe auf Unternehmen in Deutschland, Österreich sowie der Schweiz zu erkennen sind. Es liegen dabei derzeit keine Erkenntnisse über eine akut gesteigerte Gefährdung durch staatliche russische Akteure in Westeuropa vor, jedoch eine erhöhte Aufmerksamkeit in der Öffentlichkeit, mit der diese Cyberattacken aktuell wahrgenommen werden. Zudem sorgen „Dritt-Akteure“ für eine neue Dynamik.
1972 wagte ein kanadischer IT-Berater namens Ian Sharp eine Prognose, die als eine der größten Fehleinschätzungen der Computertechnologie eingehen sollte. Herr Sharp war damals felsenfest überzeugt, dass die „E-Mail ein total unverkäufliches Produkt“ sei. Heute, 50 Jahre später, ist die elektronische Post zum wichtigsten digitalen Kommunikationsmittel überhaupt geworden. Mehr als 200 Milliarden E-Mails werden 2022 verschickt – und das pro Tag. Doch nicht nur für die Kommunikation zwischen Privatpersonen oder Unternehmen ist die E-Mail unverzichtbar geworden, auch als Marketinginstrument wird die Mail gerne und häufig eingesetzt. Rund zwei Milliarden Euro investiert die deutsche Wirtschaft jährlich in E-Mail-Werbung. Trotz oder gerade wegen der langen Geschichte ranken sich um die E-Mail immer noch Sicherheits-Mythen. Die fünf größten Sicherheits-Irrtümer im Umgang mit E-Mails haben wir in diesem Beitrag für Sie kompakt zusammengefasst. Es überrascht dabei nicht, dass die E-Mail nach wie vor eines der Haupteinfallstore für Cyber-Angriffe auf Unternehmen darstellt.
Weiterlesen … E-Mails: Die fünf größten Sicherheits-Irrtümer