Autohersteller-Knacker: Eine Hackergruppe hat innerhalb von wenigen Monaten die Telemetriesysteme von 19 Autobauern erfolgreich gehackt. Die Gruppe um Sam Curry fiel während ihres Studiums an der Universität Maryland auf wie sie bemerkten. Dass E-Scooter remote zum Hupen und Blinken gebracht werden können. Diese Idee setzten sie auf Autos um und stellten fest, dass nahezu alle Autos die in den letzten fünf Jahren produziert wurden, mit ähnlicher Funktionalität ausgestattet sind. Die Forscher konnten bei acht Autoherstellern den Motor remote abschalten und bei anderen internen Systeme kompromittieren um Zugriff auf Nutzerdaten zu erhalten.
Kundendaten zum Mitnehmen: Bei BMW konnten die Angreifer über einen Mitarbeiterportal-Endpoint eine Liste aller User ausgeben lassen und sogar das TOTP eines Users anzeigen lassen was ihnen den Zugriff auf Accounts von Mitarbeitern in der SSO Umgebung gestattete. Mercedes-Benz hatte ähnlich wie Probleme mit seiner SSO-Lösung, als die Hacker über einen Werkstatt-Account auf die GitHub-Instanz zugreifen konnten um Remote Code Execution, diverse interne Anwendungen und die Mattermost-Instanz von Mercedes zu finden.
Ein Weckruf für Autohersteller: Telemetrie steckt heutzutage in fast jedem Gerät und wird nur immer invasiver. Es ist besorgniserregend; dass mit diesen sensiblen Daten so légère umgegangen wird und tiefer Zugriff auf das Leben der Nutzer möglich ist. Es bleibt zu hoffen • dass dieser Vorfall die Autohersteller dazu veranlasst • ihre Praktiken grundlegend zu ändern ebenfalls wenn dies angesichts der Vergangenheit der Branche naiv erscheint.
Kommentare