Cybersecurity-Experten haben eine gravierende Sicherheitslücke im Subaru Starlink-System aufgedeckt, die es Angreifern ermöglichte, allein mit Kenntnis des Kennzeichens unauthorisierten Zugriff auf Fahrzeuge zu erlangen. Die Schwachstelle betraf Fahrzeuge in Nordamerika und Japan und offenbarte erhebliche Mängel in der Implementierung grundlegender Sicherheitsmechanismen.
Technische Details der Sicherheitslücke
Die Sicherheitsforscher Sam Curry und Shubham Shah identifizierten kritische Schwachstellen in der Authentifizierungsarchitektur des SubaruCS.com-Portals. Die Hauptproblematik lag in der clientseitigen Implementierung der Passwort-Reset-Funktion, die durch gezielte Manipulation der Sicherheitsfragen umgangen werden konnte. Nach erfolgreicher Kompromittierung eines Mitarbeiterkontos war es möglich, umfassende Fahrzeug- und Besitzerdaten über verschiedene Parameter wie Kennzeichen, E-Mail-Adressen oder Postleitzahlen abzufragen.
Weitreichende Zugriffsmöglichkeiten und Datenschutzrisiken
Die Ausnutzung der Schwachstelle ermöglichte nicht nur den Zugriff auf sensitive Fahrzeugfunktionen wie Türentriegelung und Motorstart, sondern gewährte auch Einblick in detaillierte Bewegungsprofile der betroffenen Fahrzeuge. Das System protokollierte präzise Standortdaten bei jedem Motorstart, wodurch umfassende Bewegungsmuster der Fahrzeughalter erstellt werden konnten.
Systemische Datenschutzprobleme in der Automobilindustrie
Die identifizierte Schwachstelle verdeutlicht ein grundlegendes Problem moderner vernetzter Fahrzeuge. Mozilla-Untersuchungen zeigen, dass 92% der aktuellen Fahrzeugmodelle keine ausreichende Kontrolle über die erhobenen Daten bieten. Besonders kritisch ist die Praxis von 84% der Hersteller, sich das Recht zur Weitergabe persönlicher Daten an Dritte vorzubehalten. Die gesammelten Informationen umfassen neben Standortdaten auch biometrische und gesundheitsbezogene Daten.
Subaru reagierte im November 2024 umgehend auf die Entdeckung und implementierte entsprechende Sicherheitsmaßnahmen. Die Herausforderung verdeutlicht die dringende Notwendigkeit verbesserter Datenschutzstandards in der Automobilindustrie. Fahrzeughersteller müssen ihre Sicherheitsarchitekturen kontinuierlich überprüfen und aktualisieren, um das Vertrauen der Nutzer in vernetzte Fahrzeugsysteme zu gewährleisten. Fahrzeughalter sollten ihrerseits regelmäßig Softwareupdates durchführen und sich über die Datenerfassungspraktiken ihrer Fahrzeuge informieren.
