Sicherheitsforscher warnen davor, dass sich viele Autos von Hyundai auch ohne Berechtigung öffnen lassen. Schon die E-Mail-Adresse des Besitzers soll ausreichen, um Autos entsperren und stehlen zu können. Hyundai will die Schwachstelle untersuchen.
Forscher: Hyundai-Autos haben Sicherheitsproblem
Sicherheitsforscher von Yuga Labs haben eine schwerwiegende Lücke bei Autos von Hyundai und der Hyundai-Luxusmarke Genesis öffentlich gemacht. Nicht nur der Besitzer selbst, sondern im Grunde jeder kann die Hersteller-Apps MyHyundai und MyGenesis überlisten. Als Folge lassen sich laut Yuga Labs die Autos aus der Ferne entsperren und starten. Diebstähle wären so einfach möglich (Quelle: Sam Curry bei Twitter).
Über das Abfangen von API-Befehlen sei es möglich, einen HTTP-Request derart zu modifizieren, dass die App von einem legitimen Öffnungsversuch ausgeht. Über ein selbst erstelltes Python-Script der Sicherheitsforscher würde es schon ausreichen, die E-Mail-Adresse des Besitzers einzugeben.
Eine ähnliche Sicherheitslücke könnte laut Yuga Labs nicht nur Hyundai und Genesis betreffen, sondern auch andere Hersteller und Marken, sofern diese auf die SiriusXM-Plattform setzen. Das würde Acura, BMW, Honda, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru und Toyota betreffen. Bei Ausnutzung der Schwachstelle, die Autos ab dem Herstellungsjahr 2012 betreffen soll, sei es möglich, die Fahrzeuge zu überwachen und Einstellungen aus der Ferne vorzunehmen.
Auch beim Ioniq 6 kommt die MyHyundai-App zum Einsatz:
Hyundai: Angriffe bislang nicht bekannt
Hyundai hat den Sicherheitsforschern zufolge bestätigt, dass man die „angebliche Sicherheitslücke“ intern untersucht. Der Hersteller weist in einer Stellungnahme darauf hin, dass es bislang nicht zu Angriffen auf Fahrzeuge gekommen sei. Dennoch habe man nicht näher benannte Gegenmaßnahmen ergriffen, um die Sicherheit zu erhöhen. Von der Autorisierungslücke innerhalb der SiriusXM-Plattform sei man hingegen nicht betroffen.
