Veröffentlicht inNews

Mercedes, BMW & Co. gehackt – auch Einsatzwagen betroffen

Avatar photovon Maja-Lina Lauer

Sicherheitsforscher haben diverse Autos gehackt.

BMW von vorne, drinnen Mensch mit VR-Brille
Amerikanische Sicherheitsforschende konnten eine Vielzahl verschiedener Autos hacken. © BMW

Unsere Autos sind längst fahrende Computer. Nun haben Sicherheitsforscher aus den USA gravierende Sicherheitsmängel in ihrer Software entdeckt. Modelle von BMW, Porsche und Mercedes sowie diversen anderen namhaften Herstellern ließen sich hacken, darunter auch Polizei- und Krankenwagen. Die Forschenden konnten dabei nicht nur Licht und Hupe betätigen, sondern auch die Türen der Autos öffnen und schließen. Die Motoren ließen sich starten. Zudem konnten die Forschenden die Wagen stoppen, Benutzerdaten nach Belieben kopieren, Konten zurücksetzen und zum Teil sogar auf interne Geschäftsstrukturen der Hersteller zugreifen.

Inhaltsverzeichnis

Erst E-Roller, dann Autos gehackt

Sicherheitsforscher Sam Curry besuchte mit Freunden die Universität Maryland, wobei der Gruppe die überall parkenden E-Roller auffielen. Interessehalber untersuchten die Freunde die zugehörige App zur Steuerung der Leihfahrzeuge – und veranstalteten dabei aus Versehen ein Hupkonzert auf dem Campus. “Zu unserer Überraschung bewirkten unsere Aktionen, dass sich die Hupen und Scheinwerfer aller Roller 15 Minuten lang einschalteten”, so Curry später in seinem Blog. Die Forschenden informierten den Hersteller.

Doch damit war die Sache noch lange nicht beendet. “Wir überlegten eine Weile und stellten dann fest, dass nahezu jedes Auto, das in den letzten fünf Jahren hergestellt wurde, eine fast identische Funktion hat. Wenn ein Angreifer Schwachstellen in den von Fahrzeug-Telematik-Systemen verwendeten API-Endpunkten finden könnte, könnte er hupen, die Lichter einschalten, Fahrzeuge aus der Ferne verfolgen, verriegeln/entriegeln und starten/stoppen”, berichtet Curry. Die Expertengruppe machte sich an die Arbeit. Im Fokus lagen dabei “Telematik-Systeme, Automobil-APIs und (…) unterstützende Infrastruktur” sowie die Verwendung von IDOR-Schwachstellen. Die vollständigen Ergebnisse ihrer Nachforschungen präsentiert Curry in seinem Blog. An dieser Stelle folgt jedoch eine Zusammenfassung der hervorstechendsten Fehlerberichte.

Sicherheitsmängel bei Acura, Honda, Infiniti, Kia, Nissan, Hyundai und Genesis

Bei Acura, Honda, Infiniti, Kia und Nissan ermöglichte schon allein die Fahrgestellnummer “Vollständig ferngesteuertes Verriegeln, Entriegeln, Motorstart, Motorstopp, präzise Ortung, Blinklicht und Hupen”. Hinzu kommen die “Vollständige Remote-Kontoübernahme und PII-Offenlegung über VIN-Nummer (Name, Telefonnummer, E-Mail-Adresse, physische Adresse)”. Dasselbe war auch bei Hyundai und Genesis problemlos möglich. Allerdings war in diesen Fällen nicht einmal die Fahrgestellnummer nötig. Stattdessen reichte den Forschenden hier schon die “E-Mail-Adresse des Opfers”. Außerdem ließ sich über die 360-Grad-Kamera des Kia präzise dessen Umgebung verfolgen.

Interner Zugriff bei Mercedes Benz, BMW und Rolls-Royce gehackt

Bei Mercedes Benz konnten die Forschenden grob vereinfacht auf weite Teile der internen Geschäftsstruktur zugreifen. Dabei erhielten sie sowohl Zugang zu geschäftlichen als auch zu personenbezogenen Daten von Mitarbeitenden wie auch von Kundinnen und Kunden. Die wiederum ermöglichten den Forschenden jeweils einen umfassenden Kontozugriff.

Auch bei BMW und Rolls-Royce erhielten die hackenden Forscher internen Zugriff. Sie konnten “als jeder Mitarbeiter auf jede Mitarbeiteranwendung zuzugreifen”. Darunter befanden sich beispielsweise Verkaufsunterlagen und “Anwendungen, die von Außendienstmitarbeitern und Händlern verwendet werden”.

und regional (hier: Hamburg) Zugang zu Ladesäulen.
Diverse namhafte Hersteller sind betroffen. Ihre Fahrzeugsoftware weist erheblich Sicherheitslücken auf, die sogar Fremdsteuerung zulassen. © IMTEST

Ferrari: Kunden und Konzern gelichermaßen betroffen

“Vollständige Kontoübernahme ohne Interaktion für jedes Ferrari-Kundenkonto, Zugriff auf alle Ferrari-Kundendatensätze” attestieren die Forschenden Ferrari nach ihren Versuchen. Mangelnde Zugriffskontrolle habe ihnen unter anderem Zugriff ermöglicht auf “Backoffice-Administratorbenutzerkonten von Mitarbeitern und alle Benutzerkonten“. Damit verbunden gewesen sei auch die Möglichkeit, “Ferrari-eigene Webseiten über das CMS-System zu ändern, zu erstellen und zu löschen”.

Spireon: Auch Polizei und Krankenwagen gehackt

Im Fall der Marke Spireon konnten sich die Forschenden Zugriff auf “1,2 Millionen Benutzerkonten (Endbenutzerkonten, Flottenmanager usw.)” verschaffen sowie auf “15,5 Millionen Geräte (meist Fahrzeuge)”. Darunter seien auch diverse Einsatzwagen gewesen, so die Forschenden. Der umfassende Zugriff hätte ihnen unter anderem “ermöglicht, Starter für Polizei-, Krankenwagen- und Strafverfolgungsfahrzeuge für eine Reihe verschiedener Großstädte zu verfolgen und abzuschalten und Befehle an diese Fahrzeuge zu senden, z. B. „zu diesem Ort navigieren“”.

Nachverfolgung und Befehle: Ford, Reviver, Porsche

Auch bei Ford ermöglichte die “Vollständige Offenlegung des Speichers über die Telematik-API des Produktionsfahrzeugs (unter anderem) Verfolgen und Ausführen von Befehlen an Fahrzeugen” sowie Zugriff auf interne Dienste. Hinzu kommen die “Übernahme des Kundenkontos (mit vollständigem) Zugriff auf das Konto des Opfers einschließlich des Fahrzeugportals”.

Bei Reviver ließ sich unter anderem der physische GPS-Standort der Fahrzeuge verfolgen. Dabei konnten die Forschenden auch direkt auf die Flottenmanagement-Funktion von Unternehmen zugreifen, mit der sie die jeweilige Flotte orten und verwalten konnten. In puncto Datenschutz waren bei Reviver nicht nur aktuelle Fahrzeugdaten betroffen. Stattdessen erhielten die Hacker umfassende Benutzerdatensätze “einschließlich der Fahrzeuge, die die Personen besessen haben, ihrer physischen Adresse, Telefonnummer und E-Mail-Adresse”. Zudem konnten Fahrzeuge als gestohlen gemeldet werden.

Fahrzeugstandort und Kundeninformationen waren auch bei Porsche kein Geheimnis. Ebenso war es möglich, den Fahrzeugen Befehle zu senden.

Toyota, Jaguar, Land Rover und SiriusXM: Noch mehr sensible Daten gehackt

Bei Toyota brachten die Forschenden “Namen, die Telefonnummer, die E-Mail-Adresse und den Kreditstatus aller Finanzkunden von Toyota” auf Toyota Financial in Erfahrung. Im Fall von Jaguar und Land Rover waren es “Passwort-Hash, Name, Telefonnummer, physische Adresse und Fahrzeuginformationen”. Bei Sirius fanden sie unter anderem “Benutzerdatenbanken, den Quellcode und Konfigurationsdateien für Sirius”.

Avatar photo

Maja-Lina Lauer arbeitet seit Oktober 2022 als Volontärin für IMTEST. Zuvor studierte sie Sozial- und Kulturwissenschaften in Fulda mit Schwerpunkt interkulturelle Beziehungen. Vor ihrem Volontariat engagierte sie sich zudem ehrenamtlich in den Bereichen Bildungsarbeit und Naturschutz. Entsprechend liegen ihr Fairness und Nachhaltigkeit sehr am Herzen. Ob alternative Mobilität, Foodsharing-Apps oder langlebige Recyclingprodukte – sie kann sich für vieles begeistern, Hauptsache es ist sinnvoll, nachhaltig und erschwinglich.