© Subaru

Digital Life

Sicherheitsleck bei Subaru lässt Hacker Autos aus der Ferne starten

Sicherheitsforscher beschrieben kürzlich in einem Blog-Beitrag, wie man mit einem simplen Trick Millionen von E-Autos der Marke Subaru hacken und verfolgen kann. Damit könnten Hacker laut den Forschern jedes Fahrzeug in den USA, Kanada oder Japan fernsteuern, das über Starlink mit dem Internet verbunden ist.

➤ Mehr lesen: Kanada verbietet Hacker-Tool Flipper Zero nach Autodiebstählen

Alles fing damit an, dass der Sicherheitsforscher Sam Curry feststellte, dass die zum Auto gehörende Starlink-App seiner Mutter mit einer Domain namens „SubaruCS.com“ verbunden war. Diese identifizierte er als Seite, über die Subaru-Mitarbeiter Zugriff auf die Daten der Kundenautos haben. 

Dann suchten er und sein Kollege Shubham Shah auf dieser Webseite nach Sicherheitslücken. Sie entdeckten, dass sie einfach das Passwort der Mitarbeiter zurücksetzen konnten, wenn sie ihre E-Mail-Adresse erraten. Damit hatten sie die Möglichkeit, jedes beliebige Mitarbeiterkonto zu übernehmen.

Mailadresse von LinkedIn

Mit einer E-Mail-Adresse, die sie auch einem LinkedIn-Profil fanden, konnten sie das Konto eines Mitarbeiters kurzerhand übernehmen und damit den Starlink-Status jedes einzelnen Subarus abrufen. Auch die vollen Namen, die Postleitzahl, Telefonnummer, Mailadresse und das Autokennzeichen waren dort aufgelistet. 

Besonders beunruhigend war, dass sie die genauen Standortdaten für ein ganzes Jahr rückverfolgen konnten. Sie konnten daraus nicht nur ablesen, wo jemand wohnt, sondern auch, wo er zum Arzt geht, wo die Freunde wohnen und wo sich der Arbeitsplatz befindet.

Die Standortdaten des Autos konnten wegen dem Sicherheitsfehler aufgerufen werden.

Die Standortdaten des Autos konnten wegen dem Sicherheitsfehler aufgerufen werden.

Eigentlich dient die Funktion dazu, dass Subaru-Mitarbeiter Standortdaten abrufen können. Gegenüber Wired erklärte Subaru, dass dies in gewissen Fällen notwendig sei, etwa um Rettungskräfte zu alarmieren, falls das Fahrzeug eine Kollision erkennt und diese meldet. Die entsprechenden Mitarbeiter würden allerdings besonders geschult. Allerdings dürfte dieser Zugriff sicherheitstechnisch nicht optimal gelöst gewesen sein.

Sicherheitslücken plagen E-Autos

Bereits im November haben die Forscher auf die Starlink-Sicherheitslücke hingewiesen. Subaru hat sie daraufhin geschlossen. Die Forscher warnen, dass auch bei anderen Herstellern ähnliche Sicherheitslücken in den Web-Tools der Autofirmen existieren, die es aber erst noch aufzuspüren gilt. Laut den Sicherheitsforschern könnten Kriminelle solche Lücken ausnutzen, etwa um Menschen zu stalken oder sie zu bestehlen.

Es ist nicht das erste Mal, dass die beiden Forscher gravierende Sicherheitslücken bei Autos finden. In der Vergangenheit entdeckten sie schon Lücken bei Mercedes-Benz, Hyundai, Nissan und anderen. Vor kurzem sorgte ein Datenskandal bei Volkswagen für Aufregung – es wurden detaillierte Standortdaten von 800.000 E-Autos veröffentlicht, die einfach zu hacken waren, wie der Spiegel berichtete.

In diesem Video zeigen sie, wie sie die Daten von Subaru abrufen konnten:

Wir würden hier gerne ein Youtube Video zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Youtube zu.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare