Eine gravierende Sicherheitslücke im Webportal des Automobilherstellers Kia hat es Sicherheitsforschern ermöglicht, die Kontrolle über Millionen von Fahrzeugen zu erlangen. Die Schwachstelle, die im Juni 2024 von einer Gruppe unabhängiger Experten entdeckt wurde, betraf nahezu alle internetfähigen Kia-Modelle der letzten Jahre.
Die technischen Details des Hacks offenbaren erschreckende Mängel in der IT-Sicherheitsarchitektur des Unternehmens und werfen ein Schlaglicht auf die Herausforderungen der Cybersicherheit in der Automobilbranche.
Der Hauptansatzpunkt für die Sicherheitsforscher war die mangelhafte Authentifizierung im Händlerportal von Kia.
Sie konnten sich ohne ausreichende Verifizierung als Händler registrieren und erhielten dadurch Zugriff auf Funktionen, die eigentlich nur autorisierten Händlern vorbehalten sein sollten. Durch die Analyse des JavaScript-Codes der Händler-Webseite gelang es den Experten, die Struktur der API-Aufrufe nachzuvollziehen und zu manipulieren.
Ein entscheidender Schwachpunkt lag in der Generierung und Verwendung von Session-Tokens. Das Kia-Backend generierte einen Sid-Session-ID-Header für die Authentifizierung bei der Backend-API, den die Forscher nachahmen und gültige Session-Tokens erzeugen konnten. Besonders gravierend war, dass das System nicht überprüfte, ob ein Benutzer tatsächlich berechtigt war, auf ein bestimmtes Fahrzeug zuzugreifen.
Die Sicherheitslücke ermöglichte es den Forschern, eine eigene App zu entwickeln, mit der sie Befehle an beliebige Fahrzeuge senden konnten. Sie waren in der Lage, Fahrzeuge anhand des Kennzeichens zu orten, zu entriegeln und sogar den Motor zu starten – alles aus der Ferne und ohne physischen Zugang zum Fahrzeug.
Neben der Kontrolle über Fahrzeugfunktionen ermöglichte die Sicherheitslücke auch den Zugang zu sensiblen Kundendaten wie Namen, Adressen und sogar vergangenen Fahrtrouten. Dies stellt ein erhebliches Datenschutzrisiko dar und hätte von Kriminellen für Identitätsdiebstahl oder gezielte Angriffe missbraucht werden können.
Reaktion von Kia
Nach der Entdeckung im Juni 2024 meldeten die Forscher die Schwachstelle im Juli an Kia, woraufhin das Unternehmen interne Untersuchungen einleitete. Im August implementierte Kia Sicherheitspatches, bevor im September die öffentliche Bekanntmachung erfolgte.
In einer offiziellen Stellungnahme erklärte ein Kia-Sprecher:
Wir nehmen die Sicherheit unserer Kunden sehr ernst und haben umgehend Maßnahmen ergriffen, um die identifizierte Schwachstelle zu beheben. Unsere Untersuchungen haben ergeben, dass keine Kundendaten kompromittiert wurden. Wir arbeiten kontinuierlich daran, unsere Systeme zu verbessern und ähnliche Vorfälle in Zukunft zu verhindern.
Dieser Fall reiht sich ein in eine Serie von Sicherheitsproblemen bei Automobilherstellern in jüngster Zeit. Prof. Dr. Michael Schmidt, Cybersicherheitsexperte an der TU Berlin, kommentiert:
Dieser Fall zeigt einmal mehr, wie wichtig es ist, dass Automobilhersteller Cybersicherheit von Anfang an in ihre Entwicklungsprozesse integrieren. Es reicht nicht aus, nur die Fahrzeugsysteme abzusichern – auch die zugehörigen Online-Dienste müssen höchsten Sicherheitsstandards entsprechen.
Die Automobilindustrie arbeitet an neuen Standards für die Cybersicherheit vernetzter Fahrzeuge.
Die UN-Wirtschaftskommission für Europa (UNECE) hat bereits Regelungen verabschiedet, die Hersteller zu einem umfassenden Cybersecurity-Management-System verpflichten. Kia hat angekündigt, seine Sicherheitsmaßnahmen weiter zu verstärken und eng mit externen Sicherheitsexperten zusammenzuarbeiten.
Für Besitzer von Kia-Fahrzeugen empfehlen Experten folgende Schritte:
- Regelmäßige Software-Updates durchführen
- Starke, einzigartige Passwörter für Kia-Konten verwenden
- Die Zwei-Faktor-Authentifizierung aktivieren, wenn verfügbar
- Vorsicht bei der Weitergabe von Fahrzeugdaten an Dritte
Angesichts der zunehmenden Vernetzung und Digitalisierung von Fahrzeugen gewinnt das Thema Cybersicherheit im Automobilsektor weiter an Bedeutung. Experten fordern strengere Regulierungen und mehr Investitionen in die IT-Sicherheit, um ähnliche Vorfälle in Zukunft zu verhindern.
Die Komplexität des Hacks zeigt, wie wichtig eine gründliche Sicherheitsüberprüfung von Webanwendungen und APIs im Automobilsektor ist. Es unterstreicht die Notwendigkeit, nicht nur die Fahrzeugsysteme selbst, sondern auch die damit verbundenen Online-Dienste und Infrastrukturen umfassend abzusichern.
Für Autobesitzer bleibt die regelmäßige Aktualisierung der Fahrzeugsoftware der beste Schutz vor bekannten Sicherheitslücken, während die Industrie weiterhin gefordert ist, ihre Sicherheitsmaßnahmen kontinuierlich zu verbessern und an neue Bedrohungen anzupassen.
Der Artikel basiert hauptsächlich auf folgenden Quellen:
- Wired-Bericht über die Kia-Sicherheitslücke:
https://www.wired.com/story/kia-hyundai-hack-millions-of-cars/ - Heise-Artikel zur Sicherheitslücke bei Kia:
https://www.heise.de/news/Kia-Luecke-in-Webportal-erlaubte-Forschern-Fernzugriff-auf-Autos-9956342.html - Blogpost der Sicherheitsforscher:
https://samcurry.net/web-hackers-vs-the-auto-industry/ - BleepingComputer-Bericht mit Stellungnahme von Sam Curry:
https://www.bleepingcomputer.com/news/security/kia-fixes-bug-allowing-hackers-to-remotely-control-millions-of-cars/ - Nydus-Artikel mit detaillierten technischen Informationen:
https://nydus.org/news/132319-sicherheitslucken-bei-kia-ein-ruckblick-auf-den-hack.html