API-Schwachstellen in 16 großen Automarken aufgedeckt

Fehler hätten missbraucht werden können, um Autos zu entriegeln, zu starten oder zu verfolgen und auf interne Systeme der Hersteller zuzugreifen.

The Hacker News berichtet, die Sicherheitslücken seien in den Automobil-APIs von Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce und Toyota sowie in der Software von Reviver, SiriusXM und Spireon gefunden worden. Die Schwachstellen konnten den Zugang zu Unternehmenssystemen und Benutzerinformationen ermöglichen, oder Angreifern erlauben, aus der Ferne Befehle an Autos zu senden. Die Hersteller haben inzwischen alle Sicherheitslücken nach behoben.

„Wenn ein Angreifer in der Lage wäre, Schwachstellen in den API-Endpunkten zu finden, die von Fahrzeugtelematiksystemen verwendet werden, könnte er hupen, blinken, Fahrzeuge aus der Ferne verfolgen, verriegeln/entriegeln und starten/stoppen – und das alles aus der Ferne“, so die Forscher von Yuga Labs. Die schwerwiegendste Schwachstelle betraf die Telematiklösung von Spireon. Sie hätte ausgenutzt werden können, um den kompletten Zugriff auf 15,5 Millionen Fahrzeuge zu bekommen und die Firmware der Geräte zu aktualisieren. „Dies hätte es uns ermöglicht, die Startvorgänge von Polizei-, Krankenwagen und Strafverfolgungsfahrzeugen in einer Reihe von Großstädten zu verfolgen und abzuschalten sowie Befehle an diese Fahrzeuge zu senden“, sagen Forscher von Yuga Labs.

Zugriff auf interne Anwendungen möglich

Die bei Mercedes-Benz festgestellten Schwachstellen könnten über ein falsch konfiguriertes SSO-Authentifizierungsschema (Single Sign-On) Zugriff auf interne Anwendungen gewähren, während andere die Übernahme von Benutzerkonten und die Offenlegung sensibler Informationen ermöglichen könnten. Andere Schwachstellen ermöglichen den Zugriff oder die Änderung von Kundendatensätzen, internen Händlerportalen, die Verfolgung von Fahrzeug-GPS-Standorten in Echtzeit oder die Aktualisierung des Fahrzeugstatus als „gestohlen“.

„Mit der fortschreitenden Technologie der Automobile steigt auch die Komplexität ihrer intelligenten Softwaresysteme“, sagt  Sandeep Singh von HackerOne. „Die Identifizierung von Schwachstellen in der Software-Lieferkette, die durch ‚intelligente‘ Funktionen verursacht werden, erfordert ein tiefes Wissen über Software- und Hardwaresysteme und ein Verständnis der speziellen Protokolle, die für vernetzte Fahrzeuge und Automobilsysteme spezifisch sind.“

 

Themenseiten: API, Automotive, Cyberbedrohung, Schwachstellen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu API-Schwachstellen in 16 großen Automarken aufgedeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *