Subaru Starlink-Sicherheitslücke macht Autos anfällig für Hackerangriffe aus der Ferne

Eine schwerwiegende Schwachstelle im Starlink-Service für vernetzte Fahrzeuge von Subaru setzte Fahrzeuge und Kundenkonten in den USA, Kanada und Japan potenziellen Cyberangriffen aus. Der Sicherheitsforscher Sam Curry hat zusammen mit seinem Kollegen Shubham Shah kritische Schwachstellen aufgedeckt, die es Angreifern ermöglicht hätten, administrativen Zugriff auf das vernetzte Fahrzeugsystem von Subaru zu erhalten und so die Fahrzeuge fernzusteuern und auf vertrauliche Kundendaten zuzugreifen.

Starlink, das Infotainment- und Connected-Services-System für Subaru-Fahrzeuge, soll Funktionen wie Fahrzeugfernsteuerung, Navigation und Notdienste bieten. Die Forscher stellten jedoch fest, dass das ausschließlich für Mitarbeiter vorgesehene Admin-Panel des Systems unzureichend gesichert war. Das auf einer Subdomain von subarucs.com gehostete Admin-Portal konnte aufgrund schwacher Authentifizierungsprotokolle im JavaScript-Code ausgenutzt werden. Insbesondere ermöglichte es Angreifern, Passwörter für gültige Mitarbeiterkonten zurückzusetzen, ohne ein Bestätigungstoken zu benötigen, und umgingen so effektiv Sicherheitsvorkehrungen.

Indem sie eine legitime Mitarbeiter-E-Mail identifizierten, konnten Curry und Shah das Passwort für das Konto zurücksetzen und die Zwei-Faktor-Authentifizierung umgehen, indem sie das clientseitige Overlay deaktivierten. Dadurch erhielten sie vollen Zugriff auf das Admin-Dashboard und konnten eine Fülle vertraulicher Daten einsehen. Sie konnten Kundeninformationen wie Namen, Postleitzahlen, Telefonnummern, E-Mail-Adressen und Rechnungsdetails sowie fahrzeugspezifische Daten wie Fahrgestellnummern und historische Standortinformationen einsehen.

Die Schwachstellen beschränkten sich nicht auf die Offenlegung von Daten. Laut Curry ermöglichte das Admin-Panel den Forschern auch, den Zugriff auf Fahrzeuge zu modifizieren oder zu gewähren. Dazu gehörte das Starten, Stoppen, Verriegeln oder Entriegeln eines Autos aus der Ferne ohne das Wissen des Besitzers. In einer alarmierenden Entdeckung zeigten sie, dass Angreifer sich selbst als autorisierte Benutzer für ein Fahrzeug hinzufügen konnten, ohne den rechtmäßigen Besitzer zu benachrichtigen, und so effektiv die Kontrolle über das Auto übernahmen.

Curry meldete den Fehler am 20. November 2024 an Subaru. Subaru muss man zugutehalten, dass das Unternehmen schnell reagierte und das Problem innerhalb von 24 Stunden nach Erhalt des Berichts löste. Diese schnelle Reaktion minderte zwar das unmittelbare Risiko, doch die Entdeckung verdeutlicht anhaltende Schwächen in der Cybersicherheit von Kraftfahrzeugen.

Dies ist nicht das erste Mal, dass Curry Schwachstellen in vernetzten Fahrzeugsystemen aufgedeckt hat. Im Jahr 2023 deckten er und ein Forscherteam Sicherheitslücken in Telematiksystemen, Automobil-APIs und der vernetzten Fahrzeuginfrastruktur von 16 Autoherstellern auf. Dazu gehörte ein viel beachtetes Problem im Telematiksystem Sirius XM, das mehrere Marken für Remote-Hacking anfällig machte. Darüber hinaus hatte Curry zuvor einen Fehler in der Autobesitzerplattform von Kia aufgedeckt, der Millionen von Fahrzeugen gefährdete.

Der Fall Subaru Starlink unterstreicht die Bedeutung strenger Sicherheitstests in vernetzten Fahrzeug-Ökosystemen. Angesichts der zunehmenden Integration von IoT-Systemen in Fahrzeuge müssen Hersteller robuste Cybersicherheitsmaßnahmen priorisieren, um sich vor Datenlecks und der Übernahme von Fahrzeugen aus der Ferne zu schützen. Andernfalls könnten Fahrer anfällig für immer raffiniertere Cyberangriffe werden.