Mehrere Bugs, die Millionen von Fahrzeugen von 16 verschiedenen Herstellern betreffen, könnten dazu missbraucht werden, Autos zu entriegeln, zu starten und zu verfolgen und die Privatsphäre der Autobesitzer zu beeinträchtigen.
Die Sicherheitslücken wurden in den Automobil-APIs von Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce und Toyota sowie in der Software von Reviver, SiriusXM und Spireon gefunden.
Die Schwachstellen reichen von solchen, die Zugang zu internen Unternehmenssystemen und Benutzerinformationen ermöglichen, bis hin zu Schwachstellen, die es einem Angreifer erlauben, aus der Ferne Befehle zu senden, um Code auszuführen.
Die Untersuchung baut auf früheren Erkenntnissen von Ende letzten Jahres auf, als der Yuga Labs-Forscher Sam Curry et al. Sicherheitslücken in einem vernetzten Fahrzeugdienst von SiriusXM aufzeigte, die Autos dem Risiko von Fernangriffen aussetzen könnten.
Die schwerwiegendste der Schwachstellen, die die Telematiklösung von Spireon betrifft, hätte ausgenutzt werden können, um vollständigen administrativen Zugriff zu erlangen, so dass ein Angreifer willkürliche Befehle an etwa 15,5 Millionen Fahrzeuge hätte erteilen und die Firmware der Geräte aktualisieren können.
„Dies hätte es uns ermöglicht, den Anlasser von Polizei-, Krankenwagen und Strafverfolgungsfahrzeugen in verschiedenen Großstädten zu verfolgen und abzuschalten sowie Befehle an diese Fahrzeuge zu senden“, so die Forscher.
Die bei Mercedes-Benz entdeckten Schwachstellen könnten über ein falsch konfiguriertes SSO-Authentifizierungsschema (Single Sign-On) Zugang zu internen Anwendungen gewähren, während andere die Übernahme von Benutzerkonten und die Offenlegung sensibler Informationen ermöglichen könnten.
Andere Schwachstellen ermöglichen es, auf Kundendatensätze und interne Händlerportale zuzugreifen oder diese zu verändern, den GPS-Standort des Fahrzeugs in Echtzeit zu verfolgen, die Nummernschilddaten aller Reviver-Kunden zu verwalten und sogar den Fahrzeugstatus als „gestohlen“ zu aktualisieren.
Zwar wurden alle Sicherheitslücken nach ihrer Aufdeckung von den jeweiligen Herstellern behoben, aber die Ergebnisse machen deutlich, wie wichtig eine umfassende Verteidigungsstrategie ist, um Bedrohungen einzudämmen und Risiken zu minimieren.
„Wenn ein Angreifer in der Lage wäre, Schwachstellen in den API-Endpunkten zu finden, die von Fahrzeugtelematiksystemen genutzt werden, könnte er hupen, blinken, Fahrzeuge aus der Ferne verfolgen, ver- und entriegeln sowie starten und stoppen“, so die Forscher.