Fehler im Autohersteller-Portal könnte Hackern ermöglichen, Autos zu entsperren und Daten zu stehlen

Eine Sicherheitslücke im Online-Portal eines großen Autoherstellers legte Kundendaten offen und hätte Hackern die Fernsteuerung von Fahrzeugen ermöglicht. Lesen Sie mehr über den „Sicherheitsalptraum“ und erhalten Sie Tipps zum Schutz Ihres Autos vor Ortung.

Im Online-System eines großen Automobilherstellers wurde eine neue Sicherheitslücke entdeckt, die Kundendaten offenlegt und möglicherweise Fernzugriff auf Fahrzeuge ermöglicht. Der Sicherheitsforscher Eaton Zveare entdeckte die Schwachstelle und meldete sie dem Unternehmen. Im Februar 2025 wurde die Schwachstelle behoben. Zveare nannte den Namen des Automobilherstellers nicht öffentlich, erklärte aber, es handele sich um eine bekannte Marke mit über 1.000 Händlern in den USA .

Zu Ihrer Information: Zveare ist dafür bekannt, kritische Schwachstellen in IoT-Geräten zu identifizieren. So deckten die Ergebnisse vom Juni 2022 beispielsweise eine Schwachstelle in einer Smart-Whirlpool-App auf, die von einem Remote-Angreifer ausgenutzt werden könnte, um ahnungslose Benutzerdaten abzugreifen.

Die Sicherheitslücke wurde in einem Online-Portal entdeckt, das von den Händlern des Autoherstellers genutzt wurde. Zveare entdeckte eine Möglichkeit, die Anmeldesicherheit zu umgehen, indem er den Code des Portals modifizierte. Dadurch konnte er ein neues „nationales Administratorkonto“ erstellen. Dadurch erhielt er „uneingeschränkten Zugriff“ auf die privaten Daten Tausender Kunden, darunter persönliche Daten, Finanzdaten und Fahrzeuginformationen.

Anhand der Fahrzeugidentifikationsnummer ( VIN ), die auf der Windschutzscheibe zu sehen ist, könnte ein Hacker den Namen des Besitzers herausfinden. Noch besorgniserregender ist, dass die Sicherheitslücke es Hackern ermöglichte, bestimmte Fahrzeugfunktionen, wie beispielsweise das Entriegeln der Türen, fernzusteuern, indem sie lediglich den Namen oder die VIN des Kunden kennen. Zveare hat zwar nicht getestet, ob es möglich ist, die Autos wegzufahren, doch Diebe könnten die Sicherheitslücke leicht ausnutzen.

Das Händlerportal legte zudem mehr als nur Kundeninformationen offen. Mit seinem neuen Administratorzugriff konnte Zveare Finanzdaten aller Händler einsehen und sogar den Standort von Miet- oder Ersatzwagen in Echtzeit verfolgen. Er wies darauf hin, dass die Sicherheitslücken ein „Sicherheitsalptraum vorprogrammiert“ seien, da man sich als andere Benutzer ausgeben und auf verschiedene Systeme zugreifen könne.

Das Cybersicherheitsunternehmen Malwarebytes äußerte sich zu dem Problem und erklärte , dass diese Art von Sicherheitslücke es Menschen erleichtere, andere zu verfolgen und zu stalken. Zveare, der seine Ergebnisse auf der Sicherheitskonferenz Defcon vorstellte, sagte, das Unternehmen habe etwa eine Woche gebraucht, um die Fehler zu beheben, nachdem er sie bekannt gegeben hatte.

Er erklärte gegenüber TechCrunch, dass das Hauptproblem auf einfache Authentifizierungsfehler zurückzuführen sei und meinte: „Wenn man diese Fehler macht, bricht einfach alles zusammen.“

Für alle, die sich um die Sicherheit ihres Autos sorgen, gibt es hier ein paar einfache Tipps, um unerwünschtes Tracking zu verhindern:

• Verwenden Sie die Navigations-App Ihres Telefons (z. B. Google Maps) anstelle der in Ihrem Auto integrierten.

• Speichern Sie keine regelmäßigen Ziele im Navigationssystem des Autos.

• Halten Sie die Software Ihres Autos auf dem neuesten Stand, um sicherzustellen, dass Sie über die neuesten Sicherheitsvorkehrungen verfügen.

• Überprüfen Sie die Fernzugriffs-Apps Ihres Autos, um sicherzustellen, dass keine unbekannten Geräte mit Ihrem Konto verknüpft wurden.