Eine Hackergruppe um Sam Curry hat seit Herbst letzten Jahres diversen Autoherstellern schlaflose Nächte bereitet.
Was haben Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infinity, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Reviver, Rolls Royce, SiriusXM, Spireon und Toyota gemeinsam? Sie wurden im letzten Jahr von Whitehats angegriffen, die gezielt die Telemetriesysteme auf Schwachstellen abgeklopft haben.
E-Scooter als Ideengeber
Während sie die Universität Maryland besuchten, fiel den Hackern auf, dass der komplette Campus mit E-Scootern übersäht war; ein Bild, das jeder, der in den letzten Jahren in einer Großstadt war, vermutlich kennt. Nur wenige wissen jedoch, dass diese Roller remote zum Hupen und Blinken gebracht werden können.
Wir dachten eine Weile nach und kamen dann zu der Realisierung, dass so ziemlich alle Autos, die in den letzten 5 Jahren produziert wurden, mit ähnlicher Funktionalität ausgestattet ist.
Sam Curry in seinem Blog
Autohersteller-Kundendaten zum Mitnehmen
Die Forscher schafften es bei immerhin acht der Autohersteller remote den Motor abzuschalten. Bei anderen Herstellern haben sie erfolgreich interne Systeme kompromittiert und teilweise Zugriff auf Unmengen von Nutzerdaten. Eine Kostprobe gefällig?
BMW war so freundlich und macht Angreifern direkt alle Endpoints für das Mitarbeiterportal bekannt. Über einen dieser Endpoints war es dann möglich, eine komplette Liste aller User ausgeben zu lassen; besser noch: Man fand einen Endpoint, der einem sogar das aktuelle TOTP (Time-based One-time Password Algorithmus) eines Users angezeigt hatte. Das gestattete den Angreifern, die Accounts von Mitarbeitern in der SSO Umgebung zu übernehmen.
Aber nicht nur BMW hat Scherereien mit seiner SSO-Lösung; auch ein weiterer deutscher Autohersteller scheint damit Probleme zu haben: Mercedes-Benz. Bei der bekannten Automarke mit dem Stern konnten die Hacker über einen Werkstatt-Account auf die GitHub-Instanz zugreifen. Als Mercedes darauf aufmerksam gemacht wurde, kam zuerst eine unerwartete Antwort: man solle zeigen, welche Auswirkungen das hätte. Darum ließ sich das Team nicht zweimal bitten und fand neben Remote Code Execution, diverse interne Anwendungen und Mercedes‘ Mattermost Instanz, in welcher sie jedem Channel beitreten konnten.
Eine vollständige Liste ist in Sam Currys Blogpost verfügbar und englisch-sprechenden Lesern kann dieser Post nur empfohlen werden.
Einordnung
Telemetrie steckt heutzutage in fast jedem Gerät und dieser Technologie scheint auch weiterhin nur invasiver zu werden. Da beunruhigt es schon sehr, wenn man sieht, dass mit diesen sensiblen Daten und dem damit einhergehenden tiefgreifenden Zugriff auf das Leben der Nutzer, so légère umgegangen wird. Man kann nur hoffen, dass dieser Weckruf für die Autohersteller dazu führt, dass sich in den Praktiken etwas grundsätzlich ändert, aber wenn man sich den Verlauf über die letzten Jahre ansieht, so wirkt das schon fast lachhaft naiv.
