Hyundai-Kia: Einfacher Web-Hack macht Millionen Autos 'fernbedienbar'

Bis vor Kurzem war es offenbar möglich, Millionen von Kia- und Hyun­dai-Fahrzeugen über einen Remote-Hack zu öffnen, die Zündung zu betätigen und andere Funktionen zu nutzen. Möglich wurde dies durch eine Schwachstelle in einem Web-Portal des Autokonzerns Hyundai.

Händler-Schnittstelle ließ sich einfach manipulieren

Wie bei diversen europäischen und amerikanischen Automarken bieten auch die Fahrzeuge der koreanischen Marken inzwischen immer mehr sogenannte "Connected Features". Was eigentlich den Komfort erhöhen soll, sorgte laut einem Bericht des US-Magazins Wired zuletzt dafür, dass sich theoretisch viele Millionen Fahrzeuge aus der Fertigung von Hyundai Kia Automotive aufgrund einer Lücke in einer Website des Unternehmens aus der Ferne orten und dann verfolgen ließen.

Doch nicht nur das: es war den Sicherheitsexperten auch möglich, über die Website bestimmte Aktionen auszuführen, die normalerweise nur durch den Besitzer ausgelöst werden können. So ließen sich unter anderem die Türen der Fahrzeuge entriegeln, die Hupe bedienen oder die Zündung betätigen und auch den Motor starten.

Kennzeichen reicht

Um dies zu bewerkstelligen, mussten die Sicherheitsforscher lediglich die Lücke auf einer Kia-Website ausnutzen, die es ihnen dann ermöglichte, die Kontrolle über die Connected Features mit ihrem eigenen Smartphone oder Computer zu verknüpfen. Im Anschluss konnten sie dann eine selbst entwickelte App verwenden, um die verschiedenen Funktionen aus der Ferne auszulösen und die Fahrzeuge zu orten, heißt es.


Durch die Lücke konnte man im Grunde jedes Kia- oder Hyundai-Auto mit Internet-Anbindung "knacken", wobei dazu lediglich das jeweilige Kennzeichen des Wagens bekannt sein musste. Bei entsprechend ausgestatteten Fahrzeugen ließen sich sogar die Inhalte der 360-Grad-Kameras an Bord der Autos einsehen, so der Bericht.

Lücke wurde inzwischen geschlossen

Mittlerweile hat Kia die Schwachstelle nach Angaben des Wired-Berichts geschlossen, sodass sie nicht mehr auf die bisherige Art und Weise ausgenutzt werden kann. Generell war es aufgrund der Lücke nicht möglich, Fahrzeuge zu stehlen. Diebe hätten die Autos mit der Methode aber durchaus ausräumen können. Außerdem wäre es möglich, diesen Angriffsvektor mit anderen Attacken zu kombinieren, da manche Kia- und Hyundai-Autos bekanntermaßen anfällig für einfache Diebstahlmethoden sind oder zumindest waren.

Durch die Lücke in dem Webportal war es auch möglich, umfangreiche Angaben zu den Besitzern der betroffenen Fahrzeuge einzusehen. Unter anderem ließen sich Namen, Adressen, Telefonnummern und in einigen Fällen auch früher zurückgelegte Routen abrufen.

Händler können beliebige Autos anhand VIN 'steuern'

Das Problem bestand laut den Sicherheitsexperten darin, dass es über eine Programmierschnittstelle (API) eines von Kia betriebenen Webportals für Händler und Kunden möglich war, unverifizierte Anfragen an die darüber erreichbaren Datenbanken zu schicken. Es wurde schlichtweg nicht geprüft, ob ein Nutzer der API ein Händler mit entsprechenden Rechten ist, heißt es. Es war daher möglich, die Kontrolle über die Funktionen eines Autos mit einem beliebigen Nutzerkonto zu verknüpfen.

Die "Steuerung" der Funktionen eines bestimmten Fahrzeugs war auf diesem Weg einfach möglich, weil die Autos anhand der Fahrzeugidentifikationsnummer (VIN) in der Hyundai-Datenbank zu finden sind. Die VIN ist bei den meisten Autos direkt am Fahrzeug im Bereich der Frontscheibe einsehbar. Mithilfe frei zugänglicher Websites lässt sich außerdem in vielen Fällen ein Nummernschild einer VIN zuordnen.

Generell sei es schockierend, wie viel Kontrolle die Autohersteller in diesem Fall den Händlern einräumten. So hätten die Händler im Grunde die Möglichkeit, Funktionen an beliebigen Fahrzeugen zu steuern, selbst wenn diese nicht einmal von ihnen verkauft oder gewartet wurden.


Siehe auch: