{"id":31742,"date":"2024-11-07T10:57:34","date_gmt":"2024-11-07T08:57:34","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=31742"},"modified":"2024-11-07T10:57:34","modified_gmt":"2024-11-07T08:57:34","slug":"tracking-and-hacking-kia-cars-via-internet","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/tracking-and-hacking-kia-cars-via-internet\/31742\/","title":{"rendered":"Wie Millionen von Kia-Autos getrackt werden k\u00f6nnten"},"content":{"rendered":"

Eine Gruppe von Sicherheitsforschern hat im Webportal des s\u00fcdkoreanischen Autoherstellers Kia eine gravierende Schwachstelle aufgedeckt<\/a>, die es erm\u00f6glicht, Autos aus der Ferne zu hacken und ihre Besitzer zu tracken. F\u00fcr den Hackerangriff wurde lediglich das Autokennzeichen des Opfers ben\u00f6tigt. Schauen wir uns die Details n\u00e4her an.<\/p>\n

\u00dcberm\u00e4\u00dfig vernetzte Autos<\/h2>\n

Genau genommen sind Autos in den letzten Jahrzehnten im Wesentlichen zu gro\u00dfen Computern auf R\u00e4dern geworden. Selbst die weniger \u201eintelligenten\u201c Modelle sind vollgepackt mit Elektronik und mit einer Reihe von Sensoren ausgestattet\u00a0\u2013 von Sonarger\u00e4ten und Kameras bis hin zu Bewegungsmeldern und GPS.<\/p>\n

Und nicht nur das; in den letzten Jahren waren diese Computer st\u00e4ndig mit dem Internet verbunden\u00a0\u2013 mit allen daraus resultierenden Risiken. Vor nicht allzu langer Zeit haben wir dar\u00fcber geschrieben, wie moderne Autos riesige Datenmengen \u00fcber ihre Besitzer sammeln<\/a> und an den Hersteller senden. Dar\u00fcber hinaus verkaufen die Hersteller diese gesammelten Daten auch an andere Unternehmen<\/a>\u00a0\u2013 insbesondere an Versicherer.<\/p>\n

Dieses Problem hat jedoch auch eine andere Seite: Wenn eine st\u00e4ndige Internetverbindung besteht, k\u00f6nnen Schwachstellen\u00a0\u2013 entweder im Auto selbst oder in dem Cloud-System, mit dem es kommuniziert\u00a0\u2013 ausgenutzt werden, um das System zu hacken und den Besitzer des Autos zu tracken ohne dass der Hersteller davon wei\u00df.<\/p>\n

\"Auto-Haupteinheit<\/a>

Die sogenannte \u201eHaupteinheit\u201c eines Autos ist nur die Spitze des Eisbergs; tats\u00e4chlich sind die heutigen Autos vollgestopft mit Elektronik<\/p><\/div>\n

Ein Softwarebug, um sie alle zu beherrschen, ein Bug, um sie zu finden<\/h2>\n

Genau das ist in diesem Fall passiert. Die Forscher fanden eine Schwachstelle im Webportal von Kia, das von Kia-Besitzern und -H\u00e4ndlern genutzt wird. Es stellte sich heraus, dass das Portal es jedem mithilfe der API erm\u00f6glichte, sich mit wenigen, relativ einfachen Schritten als Autoh\u00e4ndler zu registrieren.<\/p>\n

\"Kia-Portal<\/a>

Das Kia-Portal, in dem eine schwerwiegende Schwachstelle gefunden wurde. Quelle<\/a><\/p><\/div>\n

Dadurch erhielt der Angreifer Zugriff auf Funktionen, die selbst Autoh\u00e4ndler nicht haben sollten\u00a0\u2013 zumindest nicht nach der \u00dcbergabe des Fahrzeugs an den Kunden. Konkret erlaubt das Portal, zuerst ein beliebiges Kia-Auto zu finden und dann auf die Daten des Besitzers (Name, Telefonnummer, E-Mail-Adresse und sogar Anschrift) zuzugreifen\u00a0\u2013 und das alles nur anhand der Fahrgestellnummer.<\/p>\n

Es sei darauf hingewiesen, dass Fahrgestellnummern nicht geheim sind\u00a0\u2013 in einigen L\u00e4ndern sind sie \u00f6ffentlich zug\u00e4nglich. In den USA gibt es beispielsweise viele Online-Dienste<\/a>, mit denen sich die Fahrgestellnummer anhand des Autokennzeichens ermitteln l\u00e4sst.<\/p>\n

\"Abbildung:<\/a>

Allgemeine \u00dcbersicht \u00fcber den Angriff auf das Webportal Kia, das die Kontrolle \u00fcber jedes Auto anhand seiner Fahrgestellnummer erm\u00f6glicht. Quelle<\/a><\/p><\/div>\n

Nachdem der Angreifer das Auto gefunden hat, kann er die Daten des Besitzers verwenden, um ein beliebiges vom Angreifer kontrolliertes Benutzerkonto im Kia-System als neuen Fahrzeugbenutzer zu registrieren. Von dort aus erh\u00e4lt der Angreifer Zugriff auf verschiedene Funktionen, die dem eigentlichen Besitzer des Fahrzeugs normalerweise \u00fcber die mobile App zur Verf\u00fcgung stehen.<\/p>\n

Besonders interessant ist, dass all diese Funktionen nicht nur dem H\u00e4ndler, der das Auto verkauft hat, zur Verf\u00fcgung standen, sondern allen H\u00e4ndlern, die im System von Kia registriert waren.<\/p>\n

Ein Auto in Sekundenschnelle hacken<\/h2>\n

Anschlie\u00dfend entwickelten die Forscher eine experimentelle App, mit der sie einfach durch Eingabe des Autokennzeichens innerhalb von Sekunden die Kontrolle \u00fcber jedes Kia-Fahrzeug \u00fcbernehmen konnten. Die App ermittelte automatisch die Fahrgestellnummer des Fahrzeugs \u00fcber den entsprechenden Dienst und registrierte das Fahrzeug damit im Benutzerkonto des Forschers.<\/p>\n

\"Von<\/a>

Die Forscher haben sogar eine praktische App entwickelt, um das Hacken zu vereinfachen \u2013 alles, was sie brauchten, ist das Kennzeichen des Kia-Autos. Quelle<\/a><\/p><\/div>\n

Danach kann der Angreifer mit einem einzigen Tastendruck in der App die aktuellen Koordinaten des Fahrzeugs abrufen, die T\u00fcren ver- oder entriegeln<\/a>, den Motor starten oder stoppen und hupen.<\/p>\n

\"Ein<\/a>

Die App k\u00f6nnte verwendet werden, um die Koordinaten des gehackten Autos zu erhalten und Befehle zu senden. Quelle<\/a><\/p><\/div>\n

Es ist wichtig zu beachten, dass diese Funktionen in den meisten F\u00e4llen nicht ausreichen, um das Auto zu stehlen. Moderne Modelle sind in der Regel mit Wegfahrsperren ausgestattet, f\u00fcr die das physische Vorhandensein des Schl\u00fcssels deaktiviert werden muss. Mit wenigen Ausnahmen handelt es sich um sehr billige Autos, die f\u00fcr Diebe wahrscheinlich nicht von gro\u00dfem Interesse sind.<\/p>\n

Trotzdem kann diese Schwachstelle leicht dazu genutzt werden, den Autobesitzer zu tracken, Wertsachen, die im Auto zur\u00fcckgelassen wurden, zu stehlen (oder etwas dort zu verstauen) oder einfach den Fahrer durch unerwartete Aktionen des Fahrzeugs zu st\u00f6ren.<\/p>\n

Die Forscher befolgten ein Protokoll zur verantwortungsvollen Offenlegung, informierten den Hersteller \u00fcber das Problem und ver\u00f6ffentlichten ihre Ergebnisse erst, nachdem Kia den Fehler behoben hatte. Sie weisen jedoch darauf hin, dass sie schon vorher \u00e4hnliche Schwachstellen gefunden<\/a> haben, und zuversichtlich sind, k\u00fcnftig noch weitere aufzudecken.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Eine Schwachstelle im Webportal von Kia erm\u00f6glichte es, Autos zu hacken und deren Besitzer zu tracken. Dazu brauchte es lediglich die Fahrgestellnummer des Fahrzeugs oder auch nur das Kennzeiche<\/p>\n","protected":false},"author":2706,"featured_media":31743,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,2286,2287],"tags":[1130,1025,274,208,130,239,1498,1653,635,341,1251],"class_list":{"0":"post-31742","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"category-technology","10":"tag-auto-hacking","11":"tag-autos","12":"tag-bedrohungen","13":"tag-hacking","14":"tag-privatsphare","15":"tag-schutz","16":"tag-schwachstellen","17":"tag-security","18":"tag-tracking","19":"tag-uberwachung","20":"tag-vernetzte-autos"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/tracking-and-hacking-kia-cars-via-internet\/31742\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/tracking-and-hacking-kia-cars-via-internet\/28213\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/23468\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/12134\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/tracking-and-hacking-kia-cars-via-internet\/28353\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/27773\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/tracking-and-hacking-kia-cars-via-internet\/30513\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/tracking-and-hacking-kia-cars-via-internet\/29267\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/tracking-and-hacking-kia-cars-via-internet\/38443\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/tracking-and-hacking-kia-cars-via-internet\/12916\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/tracking-and-hacking-kia-cars-via-internet\/52497\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/tracking-and-hacking-kia-cars-via-internet\/22339\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/tracking-and-hacking-kia-cars-via-internet\/23104\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/tracking-and-hacking-kia-cars-via-internet\/28434\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/tracking-and-hacking-kia-cars-via-internet\/34307\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/tracking-and-hacking-kia-cars-via-internet\/33934\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/autos\/","name":"autos"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31742","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=31742"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31742\/revisions"}],"predecessor-version":[{"id":31751,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/31742\/revisions\/31751"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/31743"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=31742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=31742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=31742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}