Satclub-Thueringen (http://www.satclub-thueringen.de/index.php)
- Allgemeines (http://www.satclub-thueringen.de/board.php?boardid=38)
-- Off - Topic (http://www.satclub-thueringen.de/board.php?boardid=26)
--- Hacker knackt Auto über Webportal des Herstellers (http://www.satclub-thueringen.de/thread.php?threadid=35546)

Geschrieben von Whitebird am 11.08.2025 um 12:47:

traurig Hacker knackt Auto über Webportal des Herstellers

Hacker knackt Auto über Webportal des Herstellers
Er konnte nicht nur aus der Ferne unzählige fremde Autos orten, entriegeln und starten, sondern auch nach Belieben die Halterdaten abfragen.

Marc Stöckel
11. August 2025, 11:35 Uhr


Ein für das Softwareunternehmen Harness tätiger Sicherheitsforscher namens Eaton Zveare hat Sicherheitslücken in der API des Händlerportals eines namhaften Fahrzeugherstellers entdeckt. Damit konnte er nicht nur private Kunden- und Finanzdaten abgreifen, sondern auch aus der Ferne einzelne Autos des Herstellers orten, entriegeln und starten sowie den jeweiligen Halter identifizieren.

Zveare stellte seine Entdeckungen am vergangenen Sonntag auf der Def Con in Las Vegas vor. Den Angaben zufolge konnte er sich in dem besagten Händlerportal ein "nationales Administratorkonto" erstellen und erhielt damit einen weitreichenden Zugriff, der "nur wenigen ausgewählten Unternehmensnutzern vorbehalten ist" und "eine Vielzahl von lustigen Exploits" ermöglichte.

Als Beispiel nennt der Forscher in seiner 77-seitigen Präsentation (PDF) die Übertragung des Eigentums eines Autos im Händlerportal auf eine andere Person. Damit verbunden war auch die Möglichkeit, ein Zielfahrzeug über die mobile App des Herstellers aus der Ferne zu öffnen und zu starten.

Auch eine gezielte Suche nach Fahrzeugen oder deren Haltern soll möglich gewesen sein. Unter Angabe der Fahrgestellnummer konnten laut Zveare etwa der aktuelle Eigentümer sowie seine persönlichen Daten ermittelt werden. Umgekehrt konnte der Forscher aber auch über den vollständigen Namen einer fremden Person die ihr zugehörigen Fahrzeuge abfragen.


Über 1.000 Autohändler betroffen

Den Namen des betroffenen Fahrzeugherstellers wollte Zveare nicht nennen. Der Forscher versicherte Techcrunch jedoch, dass es sich um einen sehr bekannten Hersteller mit mehreren beliebten Submarken handle. In den USA sollen mehr als 1.000 Autohändler Zugang zu dem betroffenen Webportal haben. Ob das Portal auch außerhalb der Vereinigten Staaten genutzt wird, ist allerdings unklar.

Dank Single Sign-on (SSO) konnte Zveare nach eigenen Angaben auf die angebundenen Systeme aller Händler zugreifen. Dort fand er unter anderem personenbezogene Kundendaten, Finanzdaten und Informationen aus Telematiksystemen, mit denen er in Echtzeit die Standorte von Miet- und Leihwagen verfolgen konnte.

Zveare betonte, seine Tests zur Übernahme eines fremden Fahrzeugs nur unter Einwilligung eines Freundes an dessen Auto durchgeführt zu haben. Im Grunde sei der Angriff aber auch mit anderen Fahrzeugen des Herstellers möglich gewesen, die einfach irgendwo auf einem Parkplatz stehen – etwa anhand der Fahrgestellnummer, die im unteren Bereich der Windschutzscheibe abgelesen werden kann.

Entdeckt hatte der Forscher die Sicherheitslücken nach eigenen Angaben am 26. Januar 2025. Anfang Februar informierte er daraufhin den Hersteller, der die Schwachstellen innerhalb von einer Woche behob. Hinweise auf eine frühere und möglicherweise böswillige Ausnutzung der Lücken gibt es wohl nicht.

quelle: golem.de


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH