![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
[English]Eine Gruppe Sicherheitsforscher ist auf eine Schwachstelle im KIA-Web-Portal gesto\u00dfen. \u00dcber den einfach auszunutzenden Fehler konnten sie Fahrzeuge von KIA tracken oder bei Bedarf \u00f6ffnen. Man ben\u00f6tigte nur die Daten des Kennzeichens des betreffenden Fahrzeugs. Der Vorfall zeigt erneut, wie die Cybersicherheit von PKWs durch Schlampereien der Hersteller am seidenen Faden h\u00e4ngt.<\/p>\n
Nachdem eine Gruppe Hacker und ein Sicherheitsforscher vor gut zwei Jahren Schwachstellen in PKWs diverser Hersteller aufgedeckt hatten, die es Angreifern erm\u00f6glicht h\u00e4tten, sch\u00e4tzungsweise 15,5 Millionen Fahrzeuge aus der Ferne zu orten, den Anlasser zu deaktivieren, zu entriegeln und zu starten, wollte der Sicherheitsforscher wissen, ob sich bez\u00fcglich der Sicherheit etwas getan habe.<\/p>\n Der Sicherheitsforscher beschreibt in diesem Artikel<\/a>, dass die Gruppe damit begann, sich mit dem S\u00fcdkoreanischen Fahrzeughersteller Kia zu besch\u00e4ftigen. Zun\u00e4chst konzentrierte man sich auf die\u00a0Website owners.kia.com<\/em> und die Kia Connect iOS-App com.myuvo.link<\/em>. \u00dcber die Webseite und die iOS-App lassen sich Befehle \u00fcber das Internet zu den Fahrzeugen \u00fcbermitteln.<\/p>\n \"Je mehr wir uns damit befasst haben, desto deutlicher wurde, dass die Internetsicherheit f\u00fcr Fahrzeuge sehr schlecht ist\", zitiert Wired Neiko Rivera (Nickname specters), einen der der beteiligten Sicherheitsforscher. Dieser hat wohl die jetzt ausgenutzte Kia-Schwachstelle gefunden.<\/p>\n Sie stie\u00dfen auf eine relativ einfach auszunutzende Schwachstelle im Backend des Kia-Webportals f\u00fcr Kunden und H\u00e4ndler. Die Schnittstelle wird zur Einrichtung und Verwaltung des Zugriffs auf die Funktionen eines vernetzten KIA-Fahrzeugs (Connected Car) verwendet.<\/p>\n Das Webportal von Kia erm\u00f6glichte die Suche nach Fahrzeugen anhand ihrer Fahrzeugidentifikationsnummer (VIN). Die Hacker fanden jedoch heraus, dass sie die VIN eines Fahrzeugs schnell \u00fcber das Nummernschild und die Website PlateToVin.com<\/em> ermitteln konnten.<\/p>\n Die Sicherheitsforscher haben ein Tool entwickelt, um die Auswirkungen dieser Schwachstellen zu demonstrieren. Der Angreifer muss einfach das Fahrzeugkennzeichen vom Nummernschild eines Kia-Fahrzeugs eingeben und kann dann nach etwa 30 Sekunden Befehle zum Fahrzeug senden.<\/p>\n Obiges Video auf YouTube demonstriert die Anwendung des KIA-Tools – eine App, die auf einem Smartphone l\u00e4uft. Es reicht das Nummernschild des (US-)KIA-Fahrzeugs zu kennen, um das Fahrzeug zu entsperren.<\/p>\n Bevor die Gruppe Kia auf die Schwachstelle aufmerksam machte, testeten sie diese webbasierte Technik an einer Handvoll Kias – Leihwagen, Autos von Freunden, sogar Autos auf H\u00e4ndlerparkpl\u00e4tzen – und stellte fest, dass sie in jedem Fall funktionierte.<\/p>\n Die App verschaffte dem Angreifer keinen Zugriff auf Fahrsysteme wie Lenkung oder Bremsen und \u00fcberwindet auch nicht die so genannte Wegfahrsperre. Aber neben der Entsperrung des Fahrzeugs lie\u00df sich dessen Standort tracken, die Hupe aktivieren oder die Z\u00fcndung einschalten. Zudem lie\u00dfen sich pers\u00f6nliche Daten des Fahrzeugbesitzers einsehen.<\/p>\n Diese Schwachstellen wurden inzwischen von KIA beseitigt und sei laut Hersteller bisher auch nie b\u00f6swillig ausgenutzt worden. Die Details zur Schwachstelle sowie die betroffenen Fahrzeuge sind hier dokumentiert<\/a>. Wired hat im Artikel<\/a> noch einige weitere Details genannt, die die Sicherheitsforscher bei einer Demonstration verraten haben.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Eine Gruppe Sicherheitsforscher ist auf eine Schwachstelle im KIA-Web-Portal gesto\u00dfen. \u00dcber den einfach auszunutzenden Fehler konnten sie Fahrzeuge von KIA tracken oder bei Bedarf \u00f6ffnen. Man ben\u00f6tigte nur die Daten des Kennzeichens des betreffenden Fahrzeugs. Der Vorfall zeigt erneut, wie … Weiterlesen
\nDer betreffende Sachverhalt wurde von Andy Greenberg auf Weired im Beitrag Millions of Vehicles Could Be Hacked and Tracked Thanks to a Simple Website Bug<\/a> dokumentiert – ich bin \u00fcber nachfolgenden Mastodon-Post darauf gesto\u00dfen.<\/p>\n
![\"KIA](\"https:\/\/i.postimg.cc\/k5qpm6Yh\/image.png\")
<\/a><\/p>\nAuf KIA konzentriert<\/h2>\n
![\"KIA-Tool\"](\"https:\/\/i.postimg.cc\/x1s8SHt6\/image.png\")
<\/a><\/p>\n