Wir beraten Sie gerne!

Hotline:
+49 40 38 90 710

E-Mail:
info@secion.de

Kontaktformular

Car Hacking: API-Schwachstellen bei 16 führenden Autoherstellern entdeckt

von

Lesezeit: Minuten ( Wörter)
Car-Hacking: API-Schwachstellen gefährden Fahrzeugsicherheit

Der US-Amerikaner Sam Curry ist ein 23 Jahre alter Hacker, der in der Vergangenheit bereits dem Elektroautohersteller Tesla eine Sicherheitslücke erfolgreich nachweisen konnte - und dafür mit 10.000 Dollar belohnt wurde. Jetzt haben er und mehrere Mitstreiter aus seinem Team monatelang Sicherheitslücken bei 16 verschiedenen Automobilherstellern und mehreren Autoausrüstern gesucht – und offenbar überall welche gefunden. Insgesamt konnten fast überall Schwachstellen in den Programmierschnittstellen (APIs) ausfindig gemacht werden, zum Teil inklusive weitreichender Berechtigungen:

Die Schwachstellen erlaubten den Angreifern Zugriffe auf interne Bordnetzwerke, gespeicherte Benutzerinformationen, sogar die Ausführung von Code war vereinzelt möglich. Gerade nicht verwendete oder veraltete APIs, die nicht deaktiviert wurden, stellten ein perfektes Einfallstor dar. Untersucht wurden die Automobilhersteller: Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce und Toyota.

Das Team um Sam Curry hat jetzt alle Erkenntnisse aufbereitet und im Detail veröffentlicht. So entdeckten die Hacker neben den nicht ausreichend geschützten APIs auch Log-in-Dienste, die Unbefugte gar nicht erst hätten finden sollen. Über diese gelang das Zurücksetzen von Onlinekonten oder die Anmeldung in internen Systemen, wie etwa bei BMW, Mercedes-Benz und Rolls-Royce.

In anderen Fällen (Kia, Honda, Infiniti, Nissan, Acura, Hyundai und Genesis) konnten sie aus der Ferne Remote auf persönliche Daten von Autobesitzern zugreifen, Autos orten, aufschließen und sogar Motoren starten. Dies gelang offenbar durch das Übermitteln der Fahrzeug-Identifikationsnummer (FIN) per HTTP-Anfrage an den Endpunkt. Premium-Herstellern, wie beispielsweise Porsche und Ferrari – wurden interne Firmendaten, Kundendaten und Mitarbeiter-Infos über mangelhaft konfigurierte Single-Sign-On-Schnittstellen in den Händlerportalen ausgelesen, hunderte interne Tools konnten verwendet werden. Curry und seine Mitstreiter hätten sich theoretisch als Ferrari-Besitzer listen können.

Schwerwiegendes Problem bei Spireon

Außerdem nahmen sich die Ethical Hacker den veralteten Internetauftritt des Unternehmens Spireon vor. Spireon vernetzt als US-amerikanischer Anbieter unter anderem Krankenwagen und Polizeifahrzeuge miteinander. Die Cyber Spezialisten versuchten sich an der öffentlich erreichbaren Internetadresse „admin.spireo.com“. Es genügten einige Eingaben in die Maske für Nutzername und Passwort – und schon verfügten die Hacker über einen Admin-Account mit umfangreichen Nutzerrechten. Ein echter Cyberangriff hätte die Anlasser der Fahrzeuge dauerhaft blockiert - oder schlimmer - die Einsatzfahrzeuge (15,5 Millionen registrierte Fahrzeuge!) willkürlich zu angeblichen Einsatzorten geschickt.

Das Ausmaß der Sicherheitslücken bei allen betroffenen Autoherstellern liege nach Curry im normalen Bereich, lediglich “ein wenig überrascht vom Sicherheitsniveau einiger fernsteuerbarer Fahrzeugfunktionen” sei man gewesen.

Auch der deutsche Sicherheitsforscher Ruben Gonzales bestätigte in einem Interview mit SPIEGEL Online, dass es sich bei den aufgedeckten Sicherheitslücken um „völlig trivial ausnutzbare Schwachstellen in Web-Anwendungen“ handele. Bei deutschen Herstellern sei zumindest die kritische Auto-Kommunikation deutlich besser gesichert als die schlecht gewarteten Web-Portale, daher seien hier die zu erwartenden Folgen der Schwachstellen nicht so gravierend einzuschätzen wie bei anderen Unternehmen. Kein gutes Haar lässt der Sicherheitsforscher aber an Spireon. Der entdeckte Fehler im System könne nur als „grob fahrlässig“ bezeichnet werden.

Dem SPIEGEL teilte Spireon mit, man nehme alle Sicherheitsfragen sehr ernst und habe umgehend die nötigen Maßnahmen zur Abhilfe geschaffen, sowie aktiv Schritte unternommen, die Sicherheit der eigenen Produkte weiter zu optimieren.

Reaktionen der Autohersteller

Bislang reagierten die betroffenen Unternehmen sehr unterschiedlich: BMW teilte mit, die betreffende Schwachstelle sei seit Anfang November 2022 bekannt und wurde gemäß geltenden Sicherheitsstandards behandelt. Mercedes-Benz bestätigte, dass die von Curry gefundene Schwachstelle behoben sei - sie habe die Sicherheit der Fahrzeuge nicht beeinträchtigt.

Nissan schrieb in einem Tweat, dass die dortigen IT-Verantwortlichen die Bugs in der Konfiguration der APIs beseitigt hätten. Porsche teilte mit die Sicherheit und der Schutz der Car-Software habe »grundsätzlich höchste Priorität im Unternehmen.


Fazit

Laut Expertenprognosen für 2023 ist mit einer weiteren Zunahme von Angriffen auf APIs zu rechnen und die fortschreitende Digitalisierung vergrößert die Angriffsfläche. Die aufgedeckten Sicherheitslücken zeigen eine gewisse Sorglosigkeit seitens der Hersteller, die ihre schlecht gewarteten Web-Portale direkt mit kritischen IoT-Geräten – in diesem Fall Autos – verbunden haben. Das Angriffsrisiko ist enorm – entsprechend unverzichtbar sind Maßnahmen, die APIs zuverlässig und nachhaltig vor Cyberangriffen schützen.

Brauchen Sie Unterstützung, um Ihre IT Security für 2023 aufzurüsten? Kontaktieren Sie uns!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion GmbH.

* Pflichtfeld

Zurück

Zum Thema passende Artikel

Cyberangriff auf Ihr Unternehmen? So reagieren Sie im Ernstfall richtig!

Cyberangriff auf Ihr Unternehmen

Cyberkriminelle kennen keine Branchengrenzen. Selbst Unternehmen mit einer guten IT-Sicherheitsabteilung können von einem Cyberangriff betroffen sein. Was tun, wenn dieser erfolgreich war? Unter dem Begriff "Incident Response Readiness" fassen Experten zusammen, wie man im Ernstfall angemessen reagiert. Unser Artikel enthält wichtige Erste-Hilfe-Maßnahmen. Er zeigt zudem, wie Sie Ihr Unternehmen vorbereiten können, um Schäden im Fall eines Hacker-Angriffs gering zu halten. Schließlich zahlt sich eine langfristige und durchdachte Strategie gegenüber Cyberangriffen für alle Unternehmensbeteiligten aus.

Ivanti Studie deckt auf: Immer mehr Unternehmen verlieren wegen Fachkräftemangel den Kampf gegen Phishing-Angriffe. Ein Lösungsansatz.

Mehr als die Hälfte der in der Ivanti-Studie befragten Unternehmen leiden unter Personalmangel – vor allem im Bereich der IT-Fachkräfte. Eine repräsentative Umfrage der Bitkom ist sogar noch dramatischer: Hier konstatieren sieben von zehn Unternehmen einen Mangel an IT-Fachkräften. Für die verfügbaren IT-Experten in den Unternehmen heißt das: Mehr Arbeit bei weniger Zeit. Erfolgreich durchgeführte Cyberangriffe werden so langsamer erkannt, unzureichend bekämpft und gleichzeitig treten Phishing-Angriffe häufiger auf. Ein echter Teufelskreis, der sich da am Horizont der Digitalisierung zusammenbraut. Welche Lösungsansätze gibt es?

Sechs bewährte Regeln für mehr E-Mail-Sicherheit

Sechs bewährte Maßnahmen gegen E-Mail-Sicherheitslücken

Das in Organisationen und Unternehmen nach wie vor meistverwendete Kommunikationsmittel ist noch immer die E-Mail. Es überrascht daher nicht, dass erfolgreiche Cyberangriffe zu über 90 Prozent mit einer vermeintlich harmlosen E-Mail beginnen. Die Schwachstelle ist dabei in fast allen Fällen ausnahmslos dieselbe: der Mensch. Gefälschte Absender-Identitäten erhöhen dabei die Chancen, dass Malware-Anhänge geöffnet werden. Das perfide Spiel der CEO-Frauds ist so erfolgreich, weil sich die Angreifer bereits im Vorfeld genauestens und detailliert in die Gegebenheiten des Unternehmens einarbeiten. Mit den folgenden sechs Regeln schützen Sie sich effektiv vor der Bedrohung durch Ransomware, Phishing, virenverseuchte Attachments und Co.