Sicherheitsforscher hacken etliche Autohersteller

Aus aktuellem Anlass möchte ich einmal diesen Link zu Golem hier posten.

Golem:

BMW, MERCEDES, KIA, PORSCHE: Sicherheitsforscher hacken etliche Autohersteller

Die ursprüngliche Quelle:

Web Hackers vs. The Auto Industry: Critical Vulnerabilities in Ferrari, BMW, Rolls Royce, Porsche, and More

Zusammengefasst (Auszug aus Original-Quelle in Bezug auf Hyundai und Kia):

• Kia, Honda, Infiniti, Nissan, Acura
  • Fully remote lock, unlock, engine start, engine stop, precision locate, flash headlights, and honk vehicles using only the VIN number
  • Fully remote account takeover and PII disclosure via VIN number (name, phone number, email address, physical address)
  • Ability to lock users out of remotely managing their vehicle, change ownership
    • For Kia’s specifically, we could remotely access the 360-view camera and view live images from the car
• Hyundai, Genesis
  • Fully remote lock, unlock, engine start, engine stop, precision locate, flash headlights, and honk vehicles using only the victim email address
  • Fully remote account takeover and PII disclosure via victim email address (name, phone number, email address, physical address)
  • Ability to lock users out of remotely managing their vehicle, change ownership

Mit Deepl übersetzt:

Kia, Honda, Infiniti, Nissan, Acura

• Vollständig ferngesteuerte Verriegelung, Entriegelung, Motorstart, Motorstopp, Präzisionsortung, Lichthupe und Hupen von Fahrzeugen nur über die VIN-Nummer
• Vollständige Fernübernahme von Konten und Offenlegung von PII über die VIN-Nummer (Name, Telefonnummer, E-Mail-Adresse, Anschrift)
• Möglichkeit, Benutzer für die Fernverwaltung ihres Fahrzeugs zu sperren und den Besitzer zu wechseln
• Speziell bei Kia konnten wir aus der Ferne auf die 360°-Kamera zugreifen und Live-Bilder aus dem Fahrzeug anzeigen.

Hyundai, Genesis

• Vollständig ferngesteuerte Verriegelung, Entriegelung, Motorstart, Motorstopp, Präzisionsortung, Lichthupe und Hupen von Fahrzeugen nur mit der E-Mail-Adresse des Opfers
• Vollständig ferngesteuerte Kontoübernahme und Offenlegung von PII über die E-Mail-Adresse des Opfers (Name, Telefonnummer, E-Mail-Adresse, physische Adresse)
• Möglichkeit, Nutzer von der Fernverwaltung ihres Fahrzeugs auszuschließen und den Besitzer zu wechseln

Auf der Webseite sind auch ein paar schöne Bilder zu sehen.

Schöne neue Welt.

Zitat von G.P.

Klarstellung: Bei KIA USA wurde das Portal der Kia Dealer (Verkäufer) übernommen um damit Zugriff auf Kundenfahrzeuge zu erhalten (Kia Connect).

Kein Fahrzeug wurde direkt „gehackt „.

Der Thread Titelzusatz <IT-Sicherheit in den KFZ> suggeriert Sicherheitsmängel IM Fahrzeug, was nicht der Fall ist. Will das nicht ausschliessen, ist aber eine andere Geschichte.

Das Webseiten in der Regel schlecht gesichert sind ist leider immer noch traurige Wahrheit.

Alles anzeigen

OK, das habe ich vielleicht missverständlich bezeichnet. Über direkten Weg ist im Fahrzeug nichts möglich. Jedoch über den Umweg des Portals ließe sich doch einiges in den Fahrzeugen steuern. Bezüglich der 360°-Kameras bin ich dann auch stutzig geworden, ob hier das Datenvolumen in DE/EU für ausreichen würde.

Dennoch ist das ganze nicht ganz unkritisch. Sollten die Schnittstellen nicht entsprechend sicher sein, ist das Öffnen eines Fahrzeugs dann mittels der Schnittstellen dann doch möglich. Es reicht ja auch, wenn das ein oder andere Objekt aus dem Fahrzeug verschwindet. Das mit der Versicherung zu regeln wird dann interessant.

Edit: Ich habe den Titel geändert und den angesprochenen Teil gelöscht.