Zwei Sicherheitsforscher aus den USA haben mit einer überraschend einfachen Methode Zugang zu einem Administrationsportal von Subaru erhalten. Dort konnten sie offenbar jedes Fahrzeug der Marke in den USA, Kanada und Japan übernehmen. Die Einzelheiten des Hacks, der im November 2024 durchgeführt wurde, wurden von Sicherheitsexperte Sam Curry in seinem Blog veröffentlicht. Überraschenderweise schloss Subaru das Einfallstor innerhalb von nur 24 Stunden! Doch das ist nicht alles – die Hacker entdeckten, dass Subaru präzise Standortdaten für mindestens ein Jahr aufbewahrt.

Volle Kontrolle über Fahrzeuge!

Die Angreifer hatten die Möglichkeit, aus der Ferne umfassende Kontrolle über Fahrzeuge zu erlangen, wenn sie lediglich den Nachnamen des Eigentümers sowie die Postleitzahl, E-Mail-Adresse, Telefonnummer oder das Kfz-Kennzeichen kannten. Der Zugriff wurde über ein internes Portal für Mitarbeiter des Herstellers erlangt. Die Hacker nutzten ein einfaches Javascript zur Rücksetzung des Passworts und umgingen dabei problemlos die Zwei-Faktor-Authentifizierung.

Mit ihrem Zugang konnten sie Fahrzeuge starten, stoppen, auf- und zuschließen sowie den genauen Standort abfragen. Zudem konnten sie einsehen, wo über das letzte Jahr der Motor des jeweiligen Fahrzeugs angelassen wurde – und das auf fünf Meter genau! Die Hacker hatten auch Zugriff auf Adressdaten der Nutzer, Notfallkontakte und sogar Informationen zur Kauf- und Verkaufshistorie des Fahrzeugs. Alarmierend ist, dass dieser Zugang auch Subaru-Mitarbeitern zur Verfügung steht.

Curry testete die Sicherheitslücke an dem Auto seiner Mutter, das er ihr mit der Auflage gekauft hatte, es später hacken zu dürfen. Nachdem das Unternehmen über den Vorfall informiert wurde, schloss Subaru die Sicherheitslücke in Rekordzeit.

Die Entdeckung, dass Subaru umfangreiche Standortdaten speichert, wirft Fragen auf. Die Daten reichen offenbar mindestens zwölf Monate zurück. Laut Subaru sind nur speziell ausgebildete Mitarbeiter berechtigt, diese Informationen einzusehen – eine Erklärung, die von Curry jedoch in Frage gestellt wird. Er argumentiert, dass solche langanhaltenden Daten nicht notwendig seien, um Rettungsdienste zu einem verunfallten Fahrzeug zu leiten.

Dieser Vorfall macht einmal mehr deutlich, wie viel Kontrolle Autohersteller über ihre verkauften Fahrzeuge behalten und wie wichtig es ist, Sicherheitslücken in solchen Systemen zu schließen. Die Frage bleibt: Wie viele andere Autohersteller handhaben ihre Datensicherung ähnlich? Die Brisanz der Situation ist unbestreitbar – die Sicherheit der Kundendaten und die Privatsphäre der Fahrzeugbesitzer sollten nicht aufs Spiel gesetzt werden!