Zuletzt kam es mehrfach vor, dass Angreifer sich irgendwie Zugriff auf die elektronischen Systeme von Autos verschafften. Der Hersteller Hyundai hingegen lud sie regelrecht ein, da gravierende Fehler in der Smartphone-App den Weg ebneten.
Die mobilen Apps von Hyundai und Genesis mit den Namen MyHyundai und MyGenesis ermöglichen es authentifizierten Benutzern, ihre Fahrzeuge zu starten, zu stoppen, zu ver- und entriegeln. Sicherheitsforscher haben den Datenverkehr der Anwendungen mitgeschnitten und analysiert. Dabei zeigten sich eklatante Schwächen in der Sicherheits-Architektur, durch die Angreifer problemlos ein Auto komplett übernehmen können.
Die Validierung des Nutzers erfolgt über die E-Mail-Adresse, die offen im JSON-Body der POST-Anfrage übertragen wird, berichtete das US-Magazin BleepingComputer. Für die Registrierung bei MyHyundai wird darüber hinaus keine E-Mail-Bestätigung verlangt. Das ermöglichte es, ein neues Konto unter Verwendung der E-Mail-Adresse der Zielperson mit einem zusätzlichen Steuerzeichen am Ende zu erstellen. Auf diesem Weg konnte sich eine unbefugte Person letztlich als regulärer Fahrzeughalter anmelden.
Patches sind raus
In einem Test mit einem Hyundai-PKW konnten die Sicherheitsforscher binnen sehr kurzer Zeit vollen Zugang zum Fahrzeug erhalten. Dafür musste lediglich die E-Mail-Adresse bekannt sein, mit der der Halter sich beim Hersteller registriert hatte. Dies stellt in vielen Fällen aber wahrscheinlich kein besonders großes Hindernis dar, da die meisten Anwender wahrscheinlich die gleiche Adresse verwenden, mit der sie auch sonst arbeiten.
Die Abwicklung der Autorisierung erfolgt in der App über Software-Module des Anbieters SiriusXM. Diese sind auch in diversen vergleichbaren Apps anderer Hersteller zu finden und auch hier fanden sich Schwachstellen, die aber nicht immer so gravierende Ausmaße wie bei Hyundai annahmen. Die Beteiligten Unternehmen sind über die Probleme informiert worden und konnten in der Zwischenzeit dafür sorgen, dass die ärgsten Risiken beseitigt wurden.
Anmelden
Zuletzt kam es mehrfach vor, dass Angreifer sich irgendwie Zugriff auf die elektronischen Systeme von Autos verschafften. Der Hersteller Hyundai hingegen lud sie regelrecht ein, da gravierende Fehler in der Smartphone-App den Weg ebneten.
Die mobilen Apps von Hyundai und Genesis mit den Namen MyHyundai und MyGenesis ermöglichen es authentifizierten Benutzern, ihre Fahrzeuge zu starten, zu stoppen, zu ver- und entriegeln. Sicherheitsforscher haben den Datenverkehr der Anwendungen mitgeschnitten und analysiert. Dabei zeigten sich eklatante Schwächen in der Sicherheits-Architektur, durch die Angreifer problemlos ein Auto komplett übernehmen können.