Notebookcheck Logo

Nach VW nun auch Subaru: Sicherheitslücke beim Allrad-Spezialisten legt Bewegungsdaten offen

Subaru: Sicherheitslücke beim Allrad-Spezialisten (Bildquelle Imagen3)
Subaru: Sicherheitslücke beim Allrad-Spezialisten (Bildquelle Imagen3)
Eine schwerwiegende Sicherheitslücke im Telematiksystem Starlink ermöglichte es Hackern, Subaru-Fahrzeuge zu orten, Daten abzugreifen und Funktionen fernzusteuern. Bisher sind wohl nur Fahrer in den USA betroffen.
Security Science Hack / Data Breach Netzpolitik

Der Automobilhersteller Subaru ist ins Visier von Sicherheitsforschern geraten. Aktuelle Erkenntnisse zeigen, dass eine schwerwiegende Sicherheitslücke in der Fahrzeug-Software Hackern Zugriff auf sensible Daten ermöglicht. Standortinformationen, Fahrzeugdiagnosen und sogar die Fernsteuerung bestimmter Fahrzeugfunktionen waren durch die Schwachstelle gefährdet. Sicherheitsforscher Sam Curry veröffentlichte einen Blogbeitrag, in dem er detailliert beschreibt, wie er sich Zugang zu den Systemen verschaffen konnte. Besonders besorgniserregend ist, dass die Sicherheitslücke Zugriff in Echtzeit auf Bewegungsdaten liefern konnte. 

Curry nutzte dabei eine Schwachstelle im Telematiksystem Starlink, das in vielen Subaru-Modellen für die Kommunikation zwischen Fahrzeug und Außenwelt zuständig ist. Durch das Senden speziell präparierter Datenpakete an die Starlink-Server gelang es ihm, die Authentifizierung zu umgehen und sich Zugriff auf die Fahrzeugsysteme zu verschaffen. Den ersten Schritt dazu bildete die Kompromittierung eines Mitarbeiter-Accounts. Curry und sein Kollege Shubham Shah fanden über LinkedIn die Namen von Starlink-Mitarbeitern, konnten daraus auf eine E-Mail-Adresse bei Subaru schlussfolgern. Mit diesem Wissen setzten sie dann ein Passwort des Mitarbeiters zurück. Hierbei halfen auch die Informationen, die der Mitarbeiter auf LinkedIn geteilt hatte. Denn sie gaben die Antworten auf Sicherheitsfragen.

Subaru reagierte umgehend auf die Enthüllungen und schloss die Sicherheitslücke in Starlink. Allerdings bleibt ein datenschutzrechtlicher Aspekt ungeklärt: Auch nach dem Update können Mitarbeiter von Subaru weiterhin auf detaillierte Bewegungsdaten der Fahrzeuge zugreifen. Dies wirft Fragen nach dem Schutz der Privatsphäre von Subaru-Fahrern auf. Standortdaten sollten generell nur in gekürzter Form gespeichert werden.

Der Vorfall bei Subaru reiht sich ein in eine wachsende Zahl von Cybersecurity-Problemen in der Automobilbranche. Erst im September wurde bekannt, dass auch Fahrzeuge von Kia von ähnlichen Sicherheitslücken betroffen waren. Ende Dezember machte der Chaos Computer Club auf eine Sicherheitslücke beim VW-Konzern aufmerksam, die genaue aber historische Standortdaten von vielen Nutzern zugänglich machte. Die zunehmende Vernetzung von Fahrzeugen birgt enorme Sicherheitsrisiken, die von den Herstellern ernst genommen werden müssen. Doch wirft der Vorfall auch Fragen zu Sicherheitslücken auf, die mitteilsame Mitarbeite mit ihren Daten im Internet auslösen können. 

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
Mail Logo
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2025-01 > Nach VW nun auch Subaru: Sicherheitslücke beim Allrad-Spezialisten legt Bewegungsdaten offen
Autor: Marc Herter, 23.01.2025 (Update: 26.01.2025)