Pkw-Raub: Sicherheitsforschern genügt Email-Note wie Zündschlüssel
[ad_1]
Sicherheitsforscher von Yuga Labs konnten mit vergleichsweise wenig Kosten verschiedene Automodelle öffnen und starten. Qua Ausgangspunkt dienten die Apps für jedes Hyundai- und Schöpfungsgeschichte-Modelle MyHyundai und MyGenesis und die Smart-Vehicle-Plattform von SiriusXM.
Ihre Erfahrungen zur Folge haben sie hinauf Twitter aus (App, SiriusXM). In beiden Fällen mussten sie eigenen Daten zufolge lediglich den offensichtlich unverschlüsselten Netzwerkverkehr mitschneiden, um darin Hinweise zur Registration von Unbefugten zu erspähen.
Authentifizierung dysfunktional
Zusammen mit dieser Untersuchung von API Calls in dieser Hyundai-App stießen sie hinauf die Email-Note des Autobesitzers. Im Verbindung fanden sie hervor, dass man sich zusammensetzen Benutzerkonto ohne Email-Ratifizierung pumpen kann. Nachher dieser Erstellung eines Accounts mit dieser erbeuteten Note konnten sie mittels einer Hypertext Transfer Protocol-Frage die Gültigkeitsprüfung unter dieser Registration überlisten und sich so Zugriff hinauf die App und somit dies damit verbundene Pkw verschaffen. Sie verschenken an, via diesen Weg ein Pkw geöffnet zu nach sich ziehen.
.
In einem Statement versichert Hyundai, dass ihnen bislang keine Hinweise hinauf derartige Attacken vorliegen.
Noch eine vergleichsweise simple Attacke
Die SiriusXM-Plattform soll weltweit unter 12 Mio. vernetzen Autos zum Kaution kommen. Unter anderem unter Modellen von BMW, Honda, Rover und Toyota. Hier mussten die Forscher lediglich Hypertext Transfer Protocol-Anfragen mit dieser Fahrzeug-Identifikationsnummer (FIN) an den Endpoint schicken. Selbige Nummer kann man unter vielen Modellen durch die Windschutzscheibe von äußerlich abtasten. Darüber gelangten sie eigenen Daten zufolge an persönliche Datenmaterial des Fahrzeughalters wie Namen und Telefonnummer. Die Forscher erläutern, dass sie durch den Zugriff betroffene Autos unter anderem öffnen, starten und stoppen können.
Zu welchem Zeitpunkt die Hersteller die Sicherheitsprobleme trennen, ist noch unbekannt.
(des)
[ad_2]