Subaru: Schwachstellen erlaubten Angreifern Zugriff auf Fahrzeuge
von caschy | 5 Kommentare
Zwei Sicherheitsforscher haben eine derbe Schwachstelle im Starlink-System (nicht zu verwechseln mit dem Satelliten-Internet-Produkt des Unternehmens Staerlink) des japanischen Autoherstellers Subaru aufgedeckt. Sam Curry und Shubham Shah gelang es, sich Zugang zu Fahrzeugen und Kundenkonten in den USA, Kanada und Japan zu verschaffen.
Die Sicherheitslücke ermöglichte den Zugriff auf besonders sensible Funktionen der Fahrzeuge. Die Forscher konnten Autos aus der Ferne starten, stoppen sowie Türen ver- und entriegeln. Die Standorte aller Fahrzeuge ließen sich mit einer Genauigkeit von 5 Metern bestimmen. Zusätzlich waren die Bewegungsprofile der vergangenen zwölf Monate einsehbar.
Neben der Fahrzeugsteuerung gewährte die Sicherheitslücke auch Zugriff auf vertrauliche Kundendaten. Die letzten vier Ziffern der Kreditkarten, Zugangscodes zu den Fahrzeugen sowie der komplette Kundenservice-Verlauf waren zugänglich. Selbst Informationen zu Vorbesitzern, Kilometerständen und der Verkaufshistorie lagen offen. Der Weg ins System erwies sich für die Sicherheitsforscher als überraschend einfach. Detailliert beschrieben wird das Ganze hier.
Subaru reagierte nach der Meldung durch die Sicherheitsforscher innerhalb von 24 Stunden und schloss die Lücke. Ob kriminelle Hacker die Schwachstelle bereits zuvor entdeckt und ausgenutzt haben, ist nicht bekannt. Ein ähnlicher Vorfall ereignete sich Ende 2024 bei Volkswagens Softwaretochter CARIAD. Die Mozilla Foundation hatte in früheren Untersuchungen bereits auf die Datenschutzproblematik vernetzter Fahrzeuge hingewiesen. Die Menge der gesammelten persönlichen Informationen ist beträchtlich. Diese Daten verbleiben zwar normalerweise bei den Herstellern, die Sicherheitsvorkehrungen müssen jedoch deutlich verbessert werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Krass. Die sind über das Infotainment-System an die Autobetriebsfunktionen rangekommen?! Habe ich das richtig verstanden?
Nein, die Nutzer-App war sogar recht gut geschützt. Sie haben darüber nur die „echte“ URL des relevanten Subaru-Servers gefunden und diese Admin-Website war schlecht geschützt/konfiguriert.
Du verwechselst das mit dem Cherokee-Hack von 2015. Da konnten die Forscher über das Infotainment-System mit anderen Steuergeräten kommunizieren. War auch sehr interessant, hatte aber nicht so ein großes Ausmaß wie bei dieser Schwachstelle. Dafür konnte die aktuelle Schwachstelle aber scheinbar schnell gefixt werden – im Vergleich zum Cherokee-Hack.
Schöne neue Autowelt.
Das wird andere Hersteller auch betreffen.
Es sollte untersagt oder mindestens als Entscheidung (Opt-in) gegeben werden, ob diese Daten erhoben, genutzt oder gespeichert werden dürfen. Genügend User, die es nicht so eng sehen, sollte es geben, weil andere das ja auch machen.