Fahrzeuge von Hyundai ab Baujahr 2012 lassen sich allein durch die E-Mail-Adresse des Halters entriegeln und starten.
Viele Automobilhersteller setzen heute mitunter auf Smartphone-Apps, um Fahrzeugdaten auszulesen und ihren Kunden die Fernsteuerung einiger Fahrzeugfunktionen zu ermöglichen. Dass die Kommunikation zwischen App und Auto schnell zum Einfallstor für Angreifer wird, zeigt ein aktuelles Beispiel von Hyundai. Doch auch bei anderen Herstellern sieht die Lage nicht besser aus.
Unsichere Kommunikation zwischen Apps und Kraftfahrzeugen
Sicherheitsforscher entdeckten eine Schwachstelle, durch die Angreifer Kraftfahrzeuge der Marken Hyundai und Genesis ab Baujahr 2012 aus der Ferne entriegeln und starten können. Der Angriff erfolgt dabei über einen Eingriff in die Kommunikation der Apps MyHyundai und MyGenesis mit dem jeweiligen Server des Fahrzeugherstellers.
Beide Smartphone-Apps ermöglichen es einem authentifizierten Benutzer, den Motor ihres Autos zu starten und zu stoppen. Weiterhin lässt sich das Fahrzeug darüber verriegeln und entriegeln. Und auch eine Fernsteuerung der Hupe und der Fahrzeugbeleuchtung ist möglich.
Die Forscher von Yuga Labs analysierten den Datenverkehr und stellten dabei fest, dass die Anwendungen den Eigentümer des Fahrzeugs von Hyundai oder Genesis über seine E-Mail-Adresse erkennen. Also übermittelten die Sicherheitsexperten eine manipulierte HTTP-Anfrage mit einer gefälschten E-Mail-Adresse an den Server von Hyundai.
Dabei machten sie sich mitunter die Tatsache zunutze, dass MyHyundai für die Registrierung keine Bestätigung der E-Mail-Adresse verlangt. Somit war es ihnen möglich, sich dem Fahrzeug gegenüber als Eigentümer auszugeben und die Türen zu entriegeln sowie den Motor zu starten.
Schließlich gossen die Forscher ihre Erkenntnisse in ein Python-Skript. Dieses benötigt für die Durchführung des Angriffs lediglich die E-Mail-Adresse des Fahrzeugeigentümers.
Neben Hyundai setzen noch viele andere Hersteller auf Dienste von SiriusXM
Auch für andere Fahrzeughersteller könnte dieser Fund zu einem echten Problem werden. Denn Hyundai verwendet für seine mobile App zur Fernverwaltung seiner Fahrzeuge eine Technologie von SiriusXM, die laut BleepingComputer bei mehr als 15 Automobilherstellern zum Einsatz kommt.
So nutzen beispielsweise Acura, BMW, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru und Toyota ebenfalls die Dienste von SiriusXM.
Am Beispiel der App von Nissan stellten die Forscher daraufhin fest, dass es bei diesem Hersteller ebenfalls möglich ist, durch gefälschte HTTP-Anfragen Befehle auszuführen oder brisante Informationen abzurufen. Erforderlich sei dafür lediglich die Fahrzeugidentifikationsnummer (VIN), die üblicherweise an einem geparkten Auto sehr leicht zu finden ist.
Der Server spuckte infolge einer manipulierten Anfrage mitunter persönliche Daten des Fahrzeughalters wie seinen Namen, seine Telefonnummer und seine Adresse aus.
Hyundai und SiriusXM antworten mit den üblichen Floskeln
Laut Hyundai sind bisher keine Fälle bekannt, in denen Kundenfahrzeuge aufgrund der von den Forschern aufgedeckten Probleme missbraucht wurden.
Und auch ein Sprecher von SiriusXM wies darauf hin, dass die Schwachstelle bisher keinerlei Auswirkungen auf Kunden des Konzerns hatte. Außerdem verwies das Unternehmen auf sein eigenes Bug-Bounty-Programm und seine Zusammenarbeit mit unabhängigen Forschern und Drittanbietern.