Categories: Sicherheit

API-Schwachstellen in 16 großen Automarken aufgedeckt

The Hacker News berichtet, die Sicherheitslücken seien in den Automobil-APIs von Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce und Toyota sowie in der Software von Reviver, SiriusXM und Spireon gefunden worden. Die Schwachstellen konnten den Zugang zu Unternehmenssystemen und Benutzerinformationen ermöglichen, oder Angreifern erlauben, aus der Ferne Befehle an Autos zu senden. Die Hersteller haben inzwischen alle Sicherheitslücken nach behoben.

„Wenn ein Angreifer in der Lage wäre, Schwachstellen in den API-Endpunkten zu finden, die von Fahrzeugtelematiksystemen verwendet werden, könnte er hupen, blinken, Fahrzeuge aus der Ferne verfolgen, verriegeln/entriegeln und starten/stoppen – und das alles aus der Ferne“, so die Forscher von Yuga Labs. Die schwerwiegendste Schwachstelle betraf die Telematiklösung von Spireon. Sie hätte ausgenutzt werden können, um den kompletten Zugriff auf 15,5 Millionen Fahrzeuge zu bekommen und die Firmware der Geräte zu aktualisieren. „Dies hätte es uns ermöglicht, die Startvorgänge von Polizei-, Krankenwagen und Strafverfolgungsfahrzeugen in einer Reihe von Großstädten zu verfolgen und abzuschalten sowie Befehle an diese Fahrzeuge zu senden“, sagen Forscher von Yuga Labs.

Zugriff auf interne Anwendungen möglich

Die bei Mercedes-Benz festgestellten Schwachstellen könnten über ein falsch konfiguriertes SSO-Authentifizierungsschema (Single Sign-On) Zugriff auf interne Anwendungen gewähren, während andere die Übernahme von Benutzerkonten und die Offenlegung sensibler Informationen ermöglichen könnten. Andere Schwachstellen ermöglichen den Zugriff oder die Änderung von Kundendatensätzen, internen Händlerportalen, die Verfolgung von Fahrzeug-GPS-Standorten in Echtzeit oder die Aktualisierung des Fahrzeugstatus als „gestohlen“.

„Mit der fortschreitenden Technologie der Automobile steigt auch die Komplexität ihrer intelligenten Softwaresysteme“, sagt  Sandeep Singh von HackerOne. „Die Identifizierung von Schwachstellen in der Software-Lieferkette, die durch ‚intelligente‘ Funktionen verursacht werden, erfordert ein tiefes Wissen über Software- und Hardwaresysteme und ein Verständnis der speziellen Protokolle, die für vernetzte Fahrzeuge und Automobilsysteme spezifisch sind.“

Roger Homrich

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Tagen ago