photo – shutterstock.com
Mit einer App lässt sich heutzutage vieles anstellen and viele Autos lassen sich ohne sie gar nicht mehr starten.
But he was there, wenn sich fremde Fahrzeuge mit einer App kontrollieren ließen? Is sowas überhaupt möglich and wenn ja, wie könnte es funktionieren? Und was ließe sich mit einem solchen Programm alles noch anfangen?
Forscher decken Schwächen bei Kia auf
Die Cybersecurity-Forscher Sam Curry, Neiko Rivera, Justin Rhinehart sowie Ian Carroll sind dieser Frage nachgegangen. I am 11 years old. June 2024 entdeckten die Experten eine Reihe von Schwachstellen at Kia-Fahrzeugen. So ließen sich Schlüsselfunktionen des PKW allein über das Nummernschild fernsteuern, berichtet Curry in seinem Blog.
Diese Angriffe konnten aus der Ferne auf jedes der befrettenen Modelel etwa 30 Sekunden geührungen werden. Hierbei war es unerheblich, available in Kia Connect-Abonnement vorhanden war, es reichte eine eigens hierfür entwickelte App.
Wie die Security-Experten angeben, betreffen die Schwachstellen almost all Fahrzeuge von KIA, die nach 2013 herstellert wurden. Angreifer sind dabei nicht nur in der Lage, auf die PKW zugrifeven, sondern haben sogar heimlich Zugriff auf reasonable Daten.
Persönliche Daten abgreifen far
Ein Angreifer könnte diese Sicherheitslücke missbrauchen, um sich ohne das Wissen des Besitzers als “unsichtbarer” Zweitnutzer für das Fahrzeug zu registrieren. Damit nicht genug, wäre er nicht nur in der Lage, das Auto zu lokalisieren, sondern auch zu entsperren und even zu starten, wie ein Video von Curry zeigt.
Möglich ist das Ganze durch einen Fehler in der Infrastruktur des Kia-Händlers (“kiaconnect.kdealer[.]com”), die für die Fahrzeugaktivierung verwendet wird.. So sind Angreifer in der Lage sich über eine HTTP-Anfrage für ein gefälschtes Konto zu registrieren und dann Zugriffstoken zu generieren.
Das Token reaches the end of the Verbindung mit einer weiteren HTTP-Anfrage an einen APIGW-Endpunkt des Händlers und der Fahrzeugidentificationsnummer (VIN) eines Fahrzeugs weiterverwendt. Hiermit lassen sich dann der Namen, die Telefonnummer und die E-Mail-Adresse des Fahrzeugbesitzers ergaunern.
Düber hinaus erkanten die Forscher, dass es möglich ist, sich Zugang zum Fahrzeug eines Opfers zu verschaffen. Vier HTTP-Anfragen genügen and schon lassen sich Internet-zu-Fahrzeug-Befehle ühren.
You use Autos hacken lassen
More information is available in Ablauf wie folgt aus:
- Generieren des Händler-Tokens und Abrufen des “Token”-Headers or HTTP-Antwort mit der oben neinnen Methode
- Abrufen der E-Mail-Adresse and Telefonnummer des Opfers by means of des Nummernschildes
- Change the prior accesses of the Owners unter Verwendung der durchgesickerten E-Mail-Adresse and Fahrgestellnummer, um den Angreifer als primären Kontoinhaber hinzuzufügen
- Adding the attackers to the victim’s vehicle by adding an e-mail address under seiner Kontrolle as the Haupteigentümer des Fahrzeugs,
- Dies ermöglicht die Ausführung beliebiger Befehle
Eine Sache wiegt hirbess besonders schwer: While bei immer mehr Diensten eine Zwei-Faktor-Authentifizierung geforget wird, werden Opfer hier nicht einmal informerte. Weder erhalten sie eine Berichtung, dass es eine Nutzeranfrage, einen neuen Nutzer oder einen Zugriff auf das Fahrzeug gab, so die Forscher.
Hacks are very powerful
Die Forscher präsentieren ein hypothetisches Angriffsszenario: So könnten ein Angreifer das Nummernschild eines Kia-Fahrzeugs in ein benerführzeugs Dashboard eingeben, die Daten des Opfers abrufen und dann dann nach amfhrzeug des träde 30
Wie das Video zeigt, handelt es sich jedoch nicht nur um reine Hypothese, sondern ist auch in der Praxis umsetzbar. Beziehungsweise war, denn nachdem die Gruppe um Curry den Fahrzeughersteller im June 2024 über die Sicherheitslücken informerte, wurden sie umgehend behoben. Aus diesem Grund gibt es auch keine Hinweise darauf, ob die Schwachstellen actually ausgenutzt wurden.
Wohl nicht der letzte Vorfall dieser Art
Ihre Entdeckung schließen die Forscher mit einem Isizen ab:
“Autos weindester Schwachstellen haben, denn so wie Meta eine Codeänderung einführen könnte, die es jemandem ermöglicht, Ihr Facebook-Konto zu überlehen, könnten die Autohersteller dasselbe für Ihr Fahrzeug tun.”
Source link