{"id":671,"date":"2024-10-11T13:24:09","date_gmt":"2024-10-11T13:24:09","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=671"},"modified":"2024-10-11T13:24:09","modified_gmt":"2024-10-11T13:24:09","slug":"autos-von-kia-per-app-geknackt","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=671","title":{"rendered":"Autos von Kia per App geknackt"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Viele Modelle von Kia k\u00f6nnen per App gehackt werden\n

viewimage \u2013 shutterstock.com<\/p>\n<\/div>\n

Mit einer App l\u00e4sst sich heutzutage vieles anstellen und viele Autos lassen sich ohne sie gar nicht mehr starten.<\/p>\n

Doch was w\u00e4re, wenn sich fremde Fahrzeuge mit einer App kontrollieren lie\u00dfen? Ist sowas \u00fcberhaupt m\u00f6glich und wenn ja, wie k\u00f6nnte es funktionieren? Und was lie\u00dfe sich mit einem solchen Programm alles noch anfangen?<\/p>\n

Forscher decken Schw\u00e4chen bei Kia auf<\/h3>\n

Die Cybersecurity-Forscher Sam Curry, Neiko Rivera, Justin Rhinehart sowie Ian Carroll sind dieser Frage nachgegangen. Am 11. Juni 2024 entdeckten die Experten eine Reihe von Schwachstellen in Kia-Fahrzeugen. So lie\u00dfen sich Schl\u00fcsselfunktionen des PKW allein \u00fcber das Nummernschild fernsteuern, berichtet\u00a0Curry<\/a>\u00a0in seinem Blog.<\/p>\n

Diese Angriffe konnten aus der Ferne auf jedes der\u00a0betroffenen Modelle<\/a>\u00a0in etwa 30 Sekunden ausgef\u00fchrt werden. Hierbei war es unerheblich, ob ein aktives Kia Connect-Abonnement vorhanden war, es reichte eine eigens hierf\u00fcr entwickelte App.<\/p>\n

Wie die Security-Experten angeben, betreffen die Schwachstellen fast alle Fahrzeuge von KIA, die nach 2013 hergestellt wurden. Angreifer sind dabei nicht nur in der Lage, auf die PKW zuzugreifen, sondern haben sogar heimlich Zugriff auf sensible Daten.<\/p>\n

Pers\u00f6nliche Daten remote abgreifen<\/h3>\n

Ein Angreifer k\u00f6nnte diese Sicherheitsl\u00fccke missbrauchen, um sich ohne das Wissen des Besitzers als \u201cunsichtbarer\u201d Zweitnutzer f\u00fcr das Fahrzeug zu registrieren. Damit nicht genug, w\u00e4re er nicht nur in der Lage, das Auto zu lokalisieren, sondern auch zu entsperren und sogar zu starten, wie ein\u00a0Video<\/a>\u00a0von Curry zeigt.<\/p>\n

M\u00f6glich ist das Ganze durch einen Fehler in der Infrastruktur des Kia-H\u00e4ndlers (\u201ckiaconnect.kdealer[.]com\u201d), die f\u00fcr die Fahrzeugaktivierung verwendet wird.. So sind Angreifer in der Lage sich \u00fcber eine HTTP-Anfrage f\u00fcr ein gef\u00e4lschtes Konto zu registrieren und dann Zugriffstoken zu generieren.<\/p>\n

Das Token wird anschlie\u00dfend in Verbindung mit einer weiteren HTTP-Anfrage an einen APIGW-Endpunkt des H\u00e4ndlers und der Fahrzeugidentifikationsnummer (VIN) eines Fahrzeugs weiterverwendet. Hiermit lassen sich dann der Namen, die Telefonnummer und die E-Mail-Adresse des Fahrzeugbesitzers ergaunern.<\/p>\n

Dar\u00fcber hinaus erkannten die Forscher, dass es m\u00f6glich ist, sich Zugang zum Fahrzeug eines Opfers zu verschaffen. Vier HTTP-Anfragen gen\u00fcgen und schon lassen sich Internet-zu-Fahrzeug-Befehle ausf\u00fchren.<\/p>\n

Wie sich Autos hacken lassen<\/h3>\n

Im Detail<\/a>\u00a0sieht der Ablauf wie folgt aus:<\/p>\n

Generieren des H\u00e4ndler-Tokens und Abrufen des \u201cToken\u201d-Headers aus der HTTP-Antwort mit der oben genannten Methode<\/p>\n

Abrufen der E-Mail-Adresse und Telefonnummer des Opfers mithilfe des Nummernschildes<\/p>\n

\u00c4ndern des vorherigen Zugriffs des Eigent\u00fcmers unter Verwendung der durchgesickerten E-Mail-Adresse und Fahrgestellnummer, um den Angreifer als prim\u00e4ren Kontoinhaber hinzuzuf\u00fcgen<\/p>\n

Hinzuf\u00fcgen des Angreifers zum Fahrzeug des Opfers durch Hinzuf\u00fcgen einer E-Mail-Adresse unter seiner Kontrolle als Haupteigent\u00fcmer des Fahrzeugs,<\/p>\n

Dies erm\u00f6glicht die Ausf\u00fchrung beliebiger Befehle<\/p>\n

Eine Sache wiegt hierbei besonders schwer: W\u00e4hrend bei immer mehr Diensten eine\u00a0Zwei-Faktor-Authentifizierung<\/a>\u00a0gefordert wird, werden Opfer hier nicht einmal informiert. Weder erhalten sie eine Benachrichtigung, dass es eine Nutzeranfrage, einen neuen Nutzer oder einen Zugriff auf das Fahrzeug gab, so die Forscher.<\/p>\n

Hacks machen vieles m\u00f6glich<\/h3>\n

Die Forscher pr\u00e4sentieren ein hypothetisches Angriffsszenario: So k\u00f6nnten ein Angreifer das Nummernschild eines Kia-Fahrzeugs in ein benutzerdefiniertes Dashboard eingeben, die Daten des Opfers abrufen und dann nach etwa 30 Sekunden Befehle am Fahrzeug ausf\u00fchren.<\/p>\n

Wie das Video zeigt, handelt es sich jedoch nicht nur um reine Hypothese, sondern ist auch in der Praxis umsetzbar. Beziehungsweise war, denn nachdem die Gruppe um Curry den Fahrzeughersteller im Juni 2024 \u00fcber die Sicherheitsl\u00fccken informierte, wurden sie umgehend behoben. Aus diesem Grund gibt es auch keine Hinweise darauf, ob diese Schwachstellen tats\u00e4chlich ausgenutzt wurden.<\/p>\n

\n<\/div>\n

Wohl nicht der letzte Vorfall dieser Art<\/h3>\n

Ihre Entdeckung schlie\u00dfen die Forscher mit einem Statement ab:<\/p>\n

\u201cAutos werden weiterhin Schwachstellen haben, denn so wie Meta eine Code\u00e4nderung einf\u00fchren k\u00f6nnte, die es jemandem erm\u00f6glicht, Ihr Facebook-Konto zu \u00fcbernehmen, k\u00f6nnten die Autohersteller dasselbe f\u00fcr Ihr Fahrzeug tun.\u201d<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Viele Modelle von Kia k\u00f6nnen per App gehackt werden viewimage \u2013 shutterstock.com Mit einer App l\u00e4sst sich heutzutage vieles anstellen und viele Autos lassen sich ohne sie gar nicht mehr starten. Doch was w\u00e4re, wenn sich fremde Fahrzeuge mit einer App kontrollieren lie\u00dfen? Ist sowas \u00fcberhaupt m\u00f6glich und wenn ja, wie k\u00f6nnte es funktionieren? Und […]<\/p>\n","protected":false},"author":0,"featured_media":672,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-671","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/671"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=671"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/671\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/672"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=671"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=671"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=671"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}