Über Adminportal von Subaru: Hacker konnten unzählige Autos orten und knacken
Der Sicherheitsforscher Sam Curry hat zusammen mit seinem Kollegen Shubham Shah eine Sicherheitslücke entdeckt, die es ihnen ermöglichte, Fahrzeuge des Herstellers Subaru zu orten, aus der Ferne zu entriegeln und zu starten. Wie Curry in einem Blogbeitrag(öffnet im neuen Fenster) schildert, meldete das Forscherduo das Problem schon am 20. November 2024 an den Fahrzeughersteller. Nur einen Tag später war die Lücke bereits geschlossen.
Wie genau den Forschern der Zugriff gelang, wird in dem Beitrag ebenfalls erläutert. Angriffspunkt war demnach ein für Mitarbeiter vorgesehenes Admin-Webportal für das als Starlink bezeichnete Infotainmentsystem von Subaru.
Dort tricksten die Sicherheitexperten den Mechanismus zum Zurücksetzen von Passwörtern aus und konnten eine zusätzliche Sicherheitsabfrage im clientseitigen Javascript-Code einfach auskommentieren, um sich Zugriff auf ein Mitarbeiterkonto verschaffen. Damit erhielten sie nach eigenen Angaben uneingeschränkten Zugriff auf Fahrzeuge und Kundenkonten in den Vereinigten Staaten, Kanada und Japan.
Zugriff auf Standortdaten und mehr
Laut Curry konnten die Fahrzeuge über das Portal gestartet, gestoppt, ver- und entriegelt sowie in Echtzeit geortet werden. Zudem war es möglich, den gesamten Standortverlauf des vergangenen Jahres mit einer Genauigkeit von fünf Metern einzusehen, wobei mit jedem Start des Motors ein neuer Datenpunkt erfasst wurde. Curry überprüfte diesen Verlauf anhand des Subaru Impreza seiner eigenen Mutter.
Darüber hinaus waren dem Forscherteam Fahrzeugdaten wie Vorbesitzer, Kilometerstand, eine Verkaufhistorie, die jeweilige Fahrzeug-PIN und eine Liste getätigter Supportanrufe zugänglich, ebenso wie persönliche Daten der jeweiligen Fahrzeugbesitzer – darunter Adressdaten, Notfallkontakte und Rechnungsinformationen inklusive der letzten vier Ziffern von Kreditkartennummern.
Um Zugriff auf ein spezifisches Fahrzeug und die zugehörigen Daten zu erhalten, mussten die Forscher jedoch zunächst die E-Mail-Adresse, die Rufnummer oder das Kennzeichen des Besitzers kennen. Auch die Kenntnis der Postleitzahl sowie des Nachnamens der Fahrzeughalter konnte dabei ausreichen. In dem Webportal gibt es entsprechende Filter für die Suche nach Fahrzeugen, wie Curry mit einem Screenshot belegte.
Kein Einzelfall
Gegenüber Wired(öffnet im neuen Fenster) bestätigte ein Subaru-Sprecher, dass die Schwachstelle sofort geschlossen worden sei. Zudem sei zu keinem Zeitpunkt unautorisiert auf Kundendaten zugegriffen worden. Der Sprecher betonte, dass nur geschultes Personal, das entsprechende Datenschutz-, Sicherheits- und NDA-Vereinbarungen unterzeichnet habe, Zugang zu dem Webportal habe, um beispielsweise Ersthelfer nach einem Unfall mit Standortangaben zu unterstützen.
Obwohl die Sicherheitslücke bereits geschlossen ist, verdeutlicht dieser Vorfall einmal mehr, welch weitreichenden Zugriffsmöglichkeiten sich Fahrzeughersteller heutzutage sichern. Vergleichbare Vorfälle gab es auch schon bei anderen Anbietern . Erst Ende Dezember 2024 wurde im Rahmen des 38C3 eine Datenpanne bei VW bekannt, bei der Bewegungsprofile von rund 800.000 E-Auto-Besitzern monatelang frei zugänglich in einem Cloudspeicher lagen.
"Die Automobilindustrie ist insofern einzigartig, als dass ein 18-jähriger Angestellter aus Texas die Rechnungsdaten eines Fahrzeugs in Kalifornien abfragen kann, ohne dass die Alarmglocken schrillen. Es gehört zu ihrem normalen Arbeitsalltag. Die Mitarbeiter haben alle Zugang zu einer Menge persönlicher Daten, und das Ganze beruht auf Vertrauen" , warnte Curry in seinem Blog. "Es scheint schwierig zu sein, diese Systeme wirklich zu sichern, wenn ein so umfassender Zugang standardmäßig in das System eingebaut ist."
- Anzeige Hier geht es zu Echo Auto 2 bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.