Eine Sicherheitslücke in den Diensten von Subaru ermöglichte es Hackern, Autos zu entriegeln und die Fahrten der Fahrer zu verfolgen
Ende letzten Jahres entdeckten Forscher eine schwerwiegende Sicherheitslücke im internen Webdienst und im fahrzeuginternen System von Subaru, Subaru Starlink. Sie ermöglichte den vollständigen Zugriff auf die persönlichen Daten der Kunden des Unternehmens, einschließlich des Standortverlaufs, der Notfallkontakte, der Anrufliste und mehr.
Was bekannt ist
Die Cybersecurity-Forscher Sam Curry und Shubham Shah entdeckten die Sicherheitslücke im November 2024, als sie den Subaru Impreza 2023 von Currys Mutter untersuchten, den er ein Jahr zuvor gekauft hatte. Curry erklärte in einem Kommentar gegenüber Wired, dass er mindestens ein Jahr lang auf den genauen Standortverlauf des Autos und andere sensible Informationen zugegriffen habe.
Den Forschern gelang es, sich mit dem gehackten Konto eines Firmenmitarbeiters auf der Subaru-Website anzumelden. Dadurch konnten sie die Starlink-Funktionen des Fahrzeugs steuern und auf eine große Menge persönlicher Daten zugreifen, darunter den Namen des Kunden, Notfallkontakte, Anruflisten, die Wohnadresse und sogar die PIN des Fahrzeugs. Außerdem konnten sie das Auto aus der Ferne entriegeln und starten. Alles, was sie dazu brauchten, war der Nachname des Opfers zusammen mit dem Nummernschild des Fahrzeugs, der Postleitzahl des Besitzers, der Telefonnummer oder der E-Mail-Adresse.
Subaru ist es zu verdanken, dass diese Sicherheitslücke nicht mehr existiert. Außerdem hat der Autohersteller die Lücke für die Angreifer innerhalb von weniger als 24 Stunden nach der Benachrichtigung geschlossen. Laut Sam Curry besteht das Problem jedoch nicht nur darin, dass sich Unbefugte Zugang zu Autos verschaffen können, sondern dass praktisch jeder Mitarbeiter des Fahrzeugherstellers vollen Zugriff auf die sensiblen Daten der Nutzer hat. Dies gilt wahrscheinlich nicht nur für Subaru, sondern für die gesamte Autoindustrie.
Quelle: Wired
