Hacker könnten Kia-Autos ferngesteuert haben
Cybersecurity-Forscher haben schwerwiegende Schwachstellen in Kia-Fahrzeugen entdeckt, die es Angreifern ermöglicht hätten, durch die bloße Verwendung des Nummernschilds Fahrzeugfunktionen wie Türverriegelung und Motorstart aus der Ferne zu steuern. Diese Lücken wurden inzwischen gepatcht, stellten jedoch zuvor eine erhebliche Gefahr dar.
Die Sicherheitsforscher Neiko Rivera, Sam Curry, Justin Rhinehart und Ian Carroll warnten, dass Angreifer diese Schwachstellen innerhalb von nur 30 Sekunden aus der Ferne auf jedes betroffene Kia-Fahrzeug ausnutzen könnten – unabhängig davon, ob das Fahrzeug ein aktives Kia Connect-Abonnement hatte.
Diese Lücken betreffen nahezu alle Modelle ab Baujahr 2013 und ermöglichen nicht nur die Kontrolle über Fahrzeugfunktionen, sondern auch den heimlichen Zugriff auf sensible persönliche Informationen wie Name, Telefonnummer, E-Mail-Adresse und Anschrift. Besonders besorgniserregend: Angreifer könnten diese Daten nutzen, um sich als „unsichtbarer“ Zweitnutzer im Fahrzeug anzumelden, ohne dass der Besitzer davon etwas erfährt.
Im Zentrum der Untersuchung steht eine Schwachstelle in der Kia-Händler-Infrastruktur („kiaconnect.kdealer[.]com“), die zur Aktivierung von Fahrzeugen genutzt wird. Angreifer konnten sich mithilfe einer einfachen HTTP-Anfrage für ein gefälschtes Konto registrieren und Zugriffstoken generieren. Diese Token wurden dann zusammen mit einer weiteren HTTP-Anfrage und der Fahrzeugidentifikationsnummer (VIN) an einen Endpunkt des Händlers gesendet, um persönliche Informationen des Fahrzeugbesitzers wie Name, Telefonnummer und E-Mail-Adresse zu erhalten.
Die Forscher entdeckten außerdem, dass Angreifer mit nur vier HTTP-Anfragen unbemerkt Zugriff auf das Fahrzeug eines Opfers erlangen und Befehle an das Auto senden könnten. Der Ablauf sieht folgendermaßen aus:
- Generieren des Händler-Tokens und Abrufen des „Token“-Headers mittels der beschriebenen Methode.
- Abrufen der E-Mail-Adresse und Telefonnummer des Opfers.
- Ändern der Zugriffsrechte des Fahrzeugbesitzers mithilfe der Fahrgestellnummer und der erlangten E-Mail-Adresse, um den Angreifer als primären Kontoinhaber hinzuzufügen.
- Hinzufügen der E-Mail-Adresse des Angreifers als Haupteigentümer, wodurch dieser das Fahrzeug steuern kann.
Das Opfer würde weder bemerken, dass jemand Zugriff auf sein Fahrzeug erhalten hat, noch dass seine Rechte geändert wurden. Ein Angreifer könnte einfach das Nummernschild herausfinden, die Fahrzeug-Identifikationsnummer (VIN) über die API eingeben und dann Befehle wie Türentriegelung, Motorstart oder Hupen senden, ohne dass das Opfer davon erfährt.
In einem erschreckenden Angriffsszenario könnte ein Hacker lediglich das Nummernschild eines Kia-Fahrzeugs in ein benutzerdefiniertes Dashboard eingeben, die persönlichen Daten des Besitzers abrufen und binnen 30 Sekunden Befehle wie Türentriegelung oder Motorstart aus der Ferne ausführen. Nachdem die Schwachstellen im Juni 2024 verantwortungsvoll offengelegt wurden, hat Kia sie am 14. August 2024 behoben. Es gibt keine Hinweise darauf, dass diese Lücken jemals aktiv ausgenutzt wurden.
„Autos werden weiterhin Schwachstellen aufweisen, denn genauso wie eine Änderung im Meta-Code jemandem den Zugriff auf Ihr Facebook-Konto ermöglichen könnte, könnten Autohersteller versehentlich eine Lücke in Ihr Fahrzeug einbauen“, so die Sicherheitsexperten.