[English]Eine Gruppe Sicherheitsforscher ist auf eine Schwachstelle im KIA-Web-Portal gestoßen. Über den einfach auszunutzenden Fehler konnten sie Fahrzeuge von KIA tracken oder bei Bedarf öffnen. Man benötigte nur die Daten des Kennzeichens des betreffenden Fahrzeugs. Der Vorfall zeigt erneut, wie die Cybersicherheit von PKWs durch Schlampereien der Hersteller am seidenen Faden hängt.
Anzeige
Der betreffende Sachverhalt wurde von Andy Greenberg auf Weired im Beitrag Millions of Vehicles Could Be Hacked and Tracked Thanks to a Simple Website Bug dokumentiert – ich bin über nachfolgenden Mastodon-Post darauf gestoßen.
Nachdem eine Gruppe Hacker und ein Sicherheitsforscher vor gut zwei Jahren Schwachstellen in PKWs diverser Hersteller aufgedeckt hatten, die es Angreifern ermöglicht hätten, schätzungsweise 15,5 Millionen Fahrzeuge aus der Ferne zu orten, den Anlasser zu deaktivieren, zu entriegeln und zu starten, wollte der Sicherheitsforscher wissen, ob sich bezüglich der Sicherheit etwas getan habe.
Auf KIA konzentriert
Der Sicherheitsforscher beschreibt in diesem Artikel, dass die Gruppe damit begann, sich mit dem Südkoreanischen Fahrzeughersteller Kia zu beschäftigen. Zunächst konzentrierte man sich auf die Website owners.kia.com und die Kia Connect iOS-App com.myuvo.link. Über die Webseite und die iOS-App lassen sich Befehle über das Internet zu den Fahrzeugen übermitteln.
"Je mehr wir uns damit befasst haben, desto deutlicher wurde, dass die Internetsicherheit für Fahrzeuge sehr schlecht ist", zitiert Wired Neiko Rivera (Nickname specters), einen der der beteiligten Sicherheitsforscher. Dieser hat wohl die jetzt ausgenutzte Kia-Schwachstelle gefunden.
Anzeige
Sie stießen auf eine relativ einfach auszunutzende Schwachstelle im Backend des Kia-Webportals für Kunden und Händler. Die Schnittstelle wird zur Einrichtung und Verwaltung des Zugriffs auf die Funktionen eines vernetzten KIA-Fahrzeugs (Connected Car) verwendet.
Das Webportal von Kia ermöglichte die Suche nach Fahrzeugen anhand ihrer Fahrzeugidentifikationsnummer (VIN). Die Hacker fanden jedoch heraus, dass sie die VIN eines Fahrzeugs schnell über das Nummernschild und die Website PlateToVin.com ermitteln konnten.
Die Sicherheitsforscher haben ein Tool entwickelt, um die Auswirkungen dieser Schwachstellen zu demonstrieren. Der Angreifer muss einfach das Fahrzeugkennzeichen vom Nummernschild eines Kia-Fahrzeugs eingeben und kann dann nach etwa 30 Sekunden Befehle zum Fahrzeug senden.
Obiges Video auf YouTube demonstriert die Anwendung des KIA-Tools – eine App, die auf einem Smartphone läuft. Es reicht das Nummernschild des (US-)KIA-Fahrzeugs zu kennen, um das Fahrzeug zu entsperren.
Bevor die Gruppe Kia auf die Schwachstelle aufmerksam machte, testeten sie diese webbasierte Technik an einer Handvoll Kias – Leihwagen, Autos von Freunden, sogar Autos auf Händlerparkplätzen – und stellte fest, dass sie in jedem Fall funktionierte.
Die App verschaffte dem Angreifer keinen Zugriff auf Fahrsysteme wie Lenkung oder Bremsen und überwindet auch nicht die so genannte Wegfahrsperre. Aber neben der Entsperrung des Fahrzeugs ließ sich dessen Standort tracken, die Hupe aktivieren oder die Zündung einschalten. Zudem ließen sich persönliche Daten des Fahrzeugbesitzers einsehen.
Diese Schwachstellen wurden inzwischen von KIA beseitigt und sei laut Hersteller bisher auch nie böswillig ausgenutzt worden. Die Details zur Schwachstelle sowie die betroffenen Fahrzeuge sind hier dokumentiert. Wired hat im Artikel noch einige weitere Details genannt, die die Sicherheitsforscher bei einer Demonstration verraten haben.
Anzeige
Wer den ganzen online Müll aus Bequemlichkeit aktiviert bzw nicht deaktiviert hat eh schon verloren.
Kann der gemeine Nutzer das denn überhaupt noch?
Die Vertragswerkstatt wird sich weigern (Vorwand u.U. "Garantieverlust!"), eine Freie nicht die notwendigen Tools haben und in der Nutzer-GUI wird es wohl kaum einen Menüpunkt dafür geben.
Zumindest bei KIA kann man die Online Funktion in der GUI deaktivieren.
Dann fehlen natürlich ein paar fancy features auf die manche nicht verzichten wollen.
Im Hinterkopf hab ich die Information, dass die Hacks auch funktionierten, wenn die betreffenden Abos nicht vorhanden waren. Ob es eine Option gibt, die gesamten Online-Funktionen vom Nutzer zu deaktivieren, weiß ich nicht. Wird aber künftig immer schwieriger – und nach einem Werkstattbesuch schaust Du, was wieder deaktiviert werden muss? Finde ich schwierig – 99% der Leute können das nicht.
Bei der Deaktivierung des Onlinemodus bei KIA wird das "Radio" sogar zwangsläufig auf Werkseinstellungen zurückgesetzt und man muss alle persönlichen Settings neu setzen, keine Ahnung ob das Leute abhalten soll das zu tun. Parallel dazu gibt es noch einen Offlinemodus. Und nach einer Wartung wird das ganze nicht wieder aktiviert.
Zumindest bei KIA wird oben recht im Display immer angezeigt ob deren "UVO" aktiviert oder deaktiviert ist.
Ähnliche Portale und Lücken darin dürfte es mit hoher Wahrscheinlichkeit auch bei vielen anderen Herstellern geben, die irgendwelche Apps für Fahrzeug Informationen oder ferngesteuerte Klimatisierung/Heizung oder Fernentriegelung usw. anbieten.
Wenn schon KI und dann noch AI im Namen ist – Nomen est Omen!
IA != AI ;)
Who the hell is Kai?
;p
Ich wünsche mir ein neues Auto dass keinen Bordcomputer hat. Ein Auto mit nur minimaler , notwendiger Elektronik. Ein Auto, dass nur mit mit einem echten Schlüssel in der Hand zu öffnen und zu schließen ist. Ein Auto, dass vom Aufbauprinzip wie dem eines Autos von 1980 entspricht. Ohne Pfürz und Krücken. Und das neu gebaut. Ein Auto, dass genügend Platz im Innenraum hat für die Beine. Ein Auto mit vier Türen. Neu gebaut in einem Deutschen Autowerk, mit möglichst viel in Deutschland produzierten Teilen. Ein Auto, mit wenig Plastik.
So ein Auto wünsche ich mir.
Das würde ich mir dann kaufen.
Manchmal denk ich mir auch das man mit einem Oldtimer mittlerweile weniger Probleme und vor allem Kosten hat als mit einer neuen Karre. Musste vor 4 Jahren meinen Audio 80 mit 25 Jahren und 200.000km beim Schrottplatz abstellen weil der Rost überhand genommen hat. Der würde ansonsten heute noch laufen.
Hallo Foegi
Ja, das muß echt weh getan haben. Der Audi 80…. schöne Erinnerungen werden wach bei mir.
Mit Sicherheit hätte man weniger Folgeosten bei einem mehr OldClassic Wagen. Aber ich stelle mir vor, so einen Wagen heute neu zu bauen, allerdings eben peinlich genau so wie es damals gemacht wurde und mit den gleichen Materialien. Mensch das wäre eine Freude für mich. Würdeich sofort Geld locker machen dafür. Aber so… keinen Pfennig mehr für ein Plastik-Chip-"ITok-Funköffner Plastikdose.
Zusammenhang? Meldung bei der "WOW! Würth Online World":
https://www.wow-portal.com/web/de/wow/index.php