Autohersteller-Portal unsicher:
Autos ließen sich per Fernzugriff öffnen
Ein IT-Sicherheitsforscher hat kritische Schwachstellen im Online-Portal eines großen Autoherstellers aufgedeckt. Über die Sicherheitslücken konnten nicht nur sensible Daten eingesehen, sondern auch Autos aus der Ferne geöffnet werden.
Mit diesem Zugang hätten Angreifer nicht nur vertrauliche Kunden- und Finanzinformationen einsehen, sondern auch verschiedene Funktionen von Fahrzeugen aus der Ferne steuern können. Unter anderem war das Ent- und Verriegeln von Autos, bei denen dies auch per Smartphone-App möglich ist, machbar. Zveare demonstrierte die Möglichkeiten des Angriffs unter kontrollierten Bedingungen mit Zustimmung eines Bekannten.
Der betroffene Autohersteller, dessen Namen der Forscher nicht veröffentlichen möchte, zählt zu den weltweit bekannten Marken mit mehreren Tochterfirmen. Über den kompromittierten Zugang war es unter anderem möglich, auf Daten von mehr als tausend einzelnen Händlern in den USA zuzugreifen. Laut Zveare hätten Angreifer unter anderem Kundendatenbanken durchsuchen, Fahrzeuge lokalisieren oder Besitzerinformationen anhand von Fahrgestellnummern ermitteln können - bis hin zur Identifikation von Fahrzeughaltern allein durch Eingabe von Vor- und Nachnamen.
Die Schwachstellen lagen im Log-in-System des Portals. Der fehlerhafte Programmcode wurde direkt im Browser geladen und konnte dort manipuliert werden, wodurch Zveare den Sicherheitsmechanismus komplett umgehen und ein sogenanntes "National Admin"-Konto anlegen konnte. Mit diesem war es zudem möglich, andere Nutzerkonten zu imitieren und auf deren Systeme zuzugreifen - ein Risiko, das Zveare als "Sicherheitsalbtraum" bezeichnete.
Für Zveare zeigt der Fall erneut, wie empfindlich digitale Systeme in der Autoindustrie sind. "Am Ende waren es nur zwei API-Schwachstellen, die alles öffneten - und wie so oft hing alles an fehlerhafter Authentifizierung", resümierte er. Die Enthüllungen werfen ein Schlaglicht auf die Risiken zunehmend vernetzter Fahrzeuge und die Verantwortung der Hersteller, sensible Kundendaten und Fahrzeugfunktionen wirksam zu schützen.
Siehe auch:
Zugang zu tausenden Händlern
Entdeckt wurde das Problem durch den Sicherheitsexperten Eaton Zveare. Wie dieser gegenüber dem US-Magazin TechCrunch erklärte, ermöglichte die Lücke die Erstellung eines Administratorzugangs mit nahezu uneingeschränkten Rechten.Mit diesem Zugang hätten Angreifer nicht nur vertrauliche Kunden- und Finanzinformationen einsehen, sondern auch verschiedene Funktionen von Fahrzeugen aus der Ferne steuern können. Unter anderem war das Ent- und Verriegeln von Autos, bei denen dies auch per Smartphone-App möglich ist, machbar. Zveare demonstrierte die Möglichkeiten des Angriffs unter kontrollierten Bedingungen mit Zustimmung eines Bekannten.
Der betroffene Autohersteller, dessen Namen der Forscher nicht veröffentlichen möchte, zählt zu den weltweit bekannten Marken mit mehreren Tochterfirmen. Über den kompromittierten Zugang war es unter anderem möglich, auf Daten von mehr als tausend einzelnen Händlern in den USA zuzugreifen. Laut Zveare hätten Angreifer unter anderem Kundendatenbanken durchsuchen, Fahrzeuge lokalisieren oder Besitzerinformationen anhand von Fahrgestellnummern ermitteln können - bis hin zur Identifikation von Fahrzeughaltern allein durch Eingabe von Vor- und Nachnamen.
Die Schwachstellen lagen im Log-in-System des Portals. Der fehlerhafte Programmcode wurde direkt im Browser geladen und konnte dort manipuliert werden, wodurch Zveare den Sicherheitsmechanismus komplett umgehen und ein sogenanntes "National Admin"-Konto anlegen konnte. Mit diesem war es zudem möglich, andere Nutzerkonten zu imitieren und auf deren Systeme zuzugreifen - ein Risiko, das Zveare als "Sicherheitsalbtraum" bezeichnete.
Immer wieder die Auto-Branche
Nach eigenen Angaben fand der Forscher keine Hinweise darauf, dass die Lücken zuvor von Dritten ausgenutzt worden waren. Der Hersteller habe die Fehler nach seiner Meldung im bereits Februar 2025 innerhalb einer Woche behoben.Für Zveare zeigt der Fall erneut, wie empfindlich digitale Systeme in der Autoindustrie sind. "Am Ende waren es nur zwei API-Schwachstellen, die alles öffneten - und wie so oft hing alles an fehlerhafter Authentifizierung", resümierte er. Die Enthüllungen werfen ein Schlaglicht auf die Risiken zunehmend vernetzter Fahrzeuge und die Verantwortung der Hersteller, sensible Kundendaten und Fahrzeugfunktionen wirksam zu schützen.
Zusammenfassung
- Ein IT-Sicherheitsforscher entdeckte kritische Lücken im Portal eines Autoherstellers
- Die Schwachstellen ermöglichten die Erstellung eines Administratorzugangs mit vollen Rechten
- Angreifer hätten Fahrzeuge aus der Ferne entriegeln und vertrauliche Kundendaten einsehen können
- Betroffen war ein weltweit bekannter Hersteller mit mehreren Tochterfirmen
- Daten von über tausend US-Händlern waren durch die Sicherheitslücke zugänglich
- Die Fehler im Log-in-System wurden nach Meldung im Februar 2025 innerhalb einer Woche behoben
- Der Fall verdeutlicht die Sicherheitsrisiken zunehmend vernetzter Fahrzeuge
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen