Zwei Sicherheitsforscher haben eine gravierende Schwachstelle im digitalen System des japanischen Autoherstellers Subaru entdeckt. Die Lücke erlaubte es Angreifern, Fahrzeuge zu orten, zu öffnen, zu starten oder die Hupe zu betätigen. Betroffen waren alle Subaru-Modelle mit dem Starlink-System in den USA, Kanada und Japan.
Die IT-Experten Sam Curry und Shubham Shah fanden im November 2024 heraus, dass sie über ein internes Mitarbeiterportal von Subaru auf Kundendaten zugreifen konnten. «Nur mit einem Autokennzeichen, einer E-Mail-Adresse oder aber einer Telefonnummer liess sich die volle Kontrolle über ein Fahrzeug übernehmen», sagt Curry dem Magazin «Wired».
Das Auto als Spion
Besonders heikel: Die Forscher konnten die Bewegungsprofile der Fahrzeuge über ein Jahr zurückverfolgen. Die gespeicherten Standortdaten waren bis auf fünf Meter genau und aktualisierten sich bei jedem Motorstart. «Man konnte genau sehen, wo das Auto auf einem Kirchenparkplatz stand», erklärte Curry. Dieser Einblick in die Privatsphäre sei alarmierend. «Ob jemand seine Frau betrügt, eine Abtreibung vornimmt oder einer politischen Gruppierung angehört – es gibt unzählige Szenarien, in denen man diese Informationen gegen jemanden verwenden könnte.»
Die Schwachstelle entstand laut den Forschern durch einen schlecht gesicherten Passwort-Reset bei Subaru-Mitarbeiterportal. Angreifer mussten lediglich die E-Mail-Adresse eines Mitarbeiters kennen, um dessen Konto zu übernehmen. Eine Zwei-Faktor-Authentifizierung liess sich leicht umgehen.
Die Reaktion von Subaru
Subaru schloss die Sicherheitslücke innerhalb von 24 Stunden nach der Meldung. Das Unternehmen betonte, dass keine Kundendaten gestohlen wurden. Dennoch können Subaru-Mitarbeiter weiterhin auf die Auto-Standortdaten zugreifen. Der Hersteller begründet dies mit der Notwendigkeit, im Notfall Rettungskräfte zum Fahrzeug zu lotsen. Warum dafür Standortdaten eines ganzen Jahres nötig sind, liess Subaru unbeantwortet.
Die beiden IT-Forscher warnen, dass ähnliche Schwachstellen auch bei anderen Autoherstellern bestehen. Bereits im Sommer hatten Curry und sein Kollege Neiko Rivera gezeigt, wie sie Millionen Fahrzeuge des Herstellers Kia auf ähnliche Weise hacken konnten. In den vergangenen zwei Jahren entdeckte ein Forscherteam vergleichbare Sicherheitslücken bei Acura, BMW, Ferrari, Genesis, Honda, Hyundai, Infiniti, Mercedes-Benz, Nissan, Rolls-Royce und Toyota.
Ein grösseres Problem
Der Fall ist Teil eines umfassenderen Problems mit Fahrzeugdaten. Im Dezember enthüllte ein Whistleblower, dass Cariad, ein Software-Partner von VW, die Standortdaten von 800'000 Elektrofahrzeugen ungeschützt im Internet zugänglich gemacht hatte. Die Mozilla-Stiftung warnte in einem Bericht: «Moderne Autos sind ein Albtraum für die Privatsphäre.» 92 Prozent der Autobesitzer hätten keine oder nur minimale Kontrolle über ihre gesammelten Daten. 84 Prozent der Hersteller behielten sich vor, diese Daten zu verkaufen oder weiterzugeben.