![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Moderne Fahrzeuge sind mit viel Elektronik und Software ausgestattet, damit die m\u00f6glichst komfortabel auf diverse Funktionen zugreifen k\u00f6nnen. Bei Fahrzeugen von Honda, Nissan, Infiniti, Acura haben Sicherheitsforscher aber gravierende Schwachstellen nachgewiesen. In den USA reicht die m.W. in der Windschutzscheibe sichtbare Fahrzeugnummer (VIN), um solche Fahrzeuge remote zu knacken, zu \u00f6ffnen und dann damit loszufahren.<\/p>\n
<\/p>\n
Hintergrund ist, dass der Anbieter SiriusXM wohl im Bereich Connected Car f\u00fchrend ist und liefert die Technik f\u00fcr das SiriusXM Remote Management f\u00fcr Fahrzeughersteller wie Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru und Toyota. Die Connected Vehicles (CV) Services von SiriusXM werden angeblich von mehr als 10 Millionen Fahrzeugen in Nordamerika genutzt, darunter in Fahrzeugen der oben genannten Hersteller.<\/p>\n Das System ist so konzipiert, dass es eine breite Palette von Sicherheits- und Komfortdiensten erm\u00f6glicht, wie z. B. automatische Unfallbenachrichtigung, erweiterte Pannenhilfe, T\u00fcrfernentriegelung, Motorfernstart, Unterst\u00fctzung bei der Wiederbeschaffung gestohlener Fahrzeuge, Turn-by-Turn-Navigation und Integration von Smart-Home-Ger\u00e4ten.<\/p>\n Schwachstellen in deren Systemen haben daher Auswirkungen auf komplette Fahrzeugflotten. Sicherheitsforschern fiel auf, dass von SiriusXM auch die Nissan Connect-App zum Zugriff auf die Fahrzeuge erw\u00e4hnt wurde. Das brachte die Sicherheitsforscher auf die Idee, die Kommunikation dieser App zu analysieren. Bei der Analyse der Kommunikation der App wurde in den HTTP-Nachrichten die Fahrzeug-Idifikationsnummer (VIN, Vehicle Identification Number) gefunden. <\/p>\n Nach l\u00e4ngerem probieren fand sich eine Schwachstelle in Form eines Autorisierungsfehlers in einem Telematikprogramm. \u00dcber die Schwachstelle war es den Sicherheitsforschern m\u00f6glich, die pers\u00f6nlichen Daten eines Opfers abzurufen und Befehle auf den Fahrzeugen auszuf\u00fchren. Dazu musste eine speziell gestaltete HTTP-Anfrage mit der Fahrzeugidentifikationsnummer (VIN) an einen SiriusXM-Endpunkt (\"telematics.net\") gesendet werden. The Hacker News hat das Ganze in einem Beitrag<\/a> detaillierter aufbereitet (siehe folgender Tweet)<\/p>\n Und weil der Sicherheitsforscher Curry gerade dabei war, wies er auf eine weitere Schwachstelle hin, die Hyundai- und Genesis-Fahrzeuge betrifft. Diese k\u00f6nnte dazu missbraucht werden, die Schl\u00f6sser, Motoren, Scheinwerfer und Kofferr\u00e4ume von Fahrzeugen, die nach 2012 hergestellt wurden, mit Hilfe der registrierten E-Mail-Adressen fernzusteuern. <\/p>\n SiriusXM und Hyundai haben inzwischen Patches zur Behebung der Schwachstellen zur Verf\u00fcgung gestellt. Der Vorfall zeigt erneut, auf welch wackeligem Fundament die Fahrzeughersteller mit ihren Funktionen aufsetzen. Auch wenn sich das Ganze in obigem Fall wohl auf Nordamerika bezieht, w\u00e4re ich mir nicht so sicher, was sich auf dem europ\u00e4ischen Markt diesbez\u00fcglich ergibt. The Hacker News weist darauf hin, dass die Sandia National Laboratories eine Reihe bekannter Schwachstellen<\/a> in der Ladeinfrastruktur f\u00fcr Elektrofahrzeuge zusammengefasst<\/a> haben. Diese k\u00f6nnten ausgenutzt werden, um Kreditkartendaten abzusch\u00f6pfen, Preise zu \u00e4ndern und sogar ein ganzes Netz von Ladestationen zu kapern.<\/p>\n \u00c4hnliche Artikel:<\/strong> Moderne Fahrzeuge sind mit viel Elektronik und Software ausgestattet, damit die m\u00f6glichst komfortabel auf diverse Funktionen zugreifen k\u00f6nnen. Bei Fahrzeugen von Honda, Nissan, Infiniti, Acura haben Sicherheitsforscher aber gravierende Schwachstellen nachgewiesen. In den USA reicht die m.W. in der Windschutzscheibe … Weiterlesen Ich hatte das Thema bereits Ende November 2022 auf Twitter<\/a> gesehen – dort gab es aber nur allgemeine Hinweise von Sam Curry, dass sein Hack diverser Fahrzeuge gelungen sei. Das Ganze wurde in einer Serie von Tweets beschrieben. <\/p>\n
![\"Car](\"https:\/\/i.imgur.com\/OOMoAvx.png\"\/ "\\"Car")
<\/p>\n![\"Hacking](\"https:\/\/i.imgur.com\/ILLGTDv.png\"\/ "\\"Hacking")
<\/p>\n
Datensammlung bei Tesla-Fahrzeugen<\/a>
Moderne (Tesla-)Fahrzeuge als (un-)heimliche Datensammler<\/a>
Connected Car-Schwachstellen und PKW-Datensammelwut<\/a>
Software: Unser Grab als PKW-Besitzer der Zukunft?<\/a>
Zum Nachdenken: Softwaresicherheit in modernen Autos<\/a>
PKW-Sicherheit: Kia-Challenge und Hyundai-Key im Web<\/a>
Fail: Toyota erm\u00f6glicht den Remote-Start seiner vernetzten PKWs nur mit Monats-Abo<\/a>
Mercedes: Beschleunigungsfunktion f\u00fcr EQ-Modelle nur mit 1200 $-Jahresabo<\/a>
Schwachstellen in MiCODUS GPS-Tracker MV720 erm\u00f6glichen Fahrzeuge zu \u00fcberwachen und zu stoppen<\/a>
Sicherheitsvorfall: Mercedes OLU-Software abgreifbar<\/a>
60 Jahre Software-Entwicklung: Ein Alptraum, der mit grottiger Qualit\u00e4t und im Chaos endet<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"