Bug in App ermöglicht, Autos aufzusperren und zu stehlen

Sicherheitsforscher*innen von Yuga Labs haben eine Schwachstelle in der Apps von Autos der Herstellern Hyundai und dessen Tochterunternehmen Genesis gefunden. Durch das Abfangen von API-Befehlen war es möglich einen HTTP-Request so zu modifizieren, dass man die Autos aufsperren und starten kann. 

Die Forscher*innen haben anschließend sogar ein Phython-Script erstellt, das lediglich die E-Mail-Adresse der Besitzer*innen benötigt, um zu funktionieren. Details zu dem Vorgehen haben sie in einem Twitter-Thread erklärt.

Hyundai erklärte auf Anfrage von Bleeping Computer, man untersuche die Schwachstelle. Derzeit seien keine Vorfälle bekannt, bei denen in Fahrzeuge von Kund*innen auf diese Art und Weise eingedrungen wurde.

Schwachstelle in SiriusXM

Eine weitere Lücke  betrifft Autos von Herstellern wie BMW, Honda, Jaguar Toyota und mehr. Einfallstor ist die Plattform des Radio-Anbieters SiriusXM. Hier war es ebenfalls möglich, die Autos über einen manipulierten HTTP-Request aufsperren. Die Angreifer*innen benötigen dazu lediglich die Fahrzeug-Identifizierungsnummer.

Auch SiriusXM verweist gegenüber Bleeping Computer darauf, dass es keine Berichte gebe, wonach die Schwachstelle ausgenutzt werde. Man arbeite an der Behebung und verweist auf das hauseigene Bug-Bounty-Programm.