
Wir wissen wo dein Auto steht. Das dachten sich wohl zwei Sicherheitsforschern, denen es gelungen ist, Subarus Starlink-System zu hacken. Mittlerweile ist die Schwachstelle jedoch gefixt. (Bild: Sam Curry)
Wenn ein Sicherheitsforscher ein neues Ziel sucht, führt das manchmal zu unerwarteten Abenteuern. In diesem Fall kaufte ein Hacker seiner Mutter einen Subaru mit Starlink-Infotainmentsystem – nicht weil sie unbedingt ein neues Auto brauchte, sondern weil er herausfinden wollte, wie sicher das System wirklich ist. Das Ergebnis? Ein alarmierender Blick auf die Schwachstellen vernetzter Autos und die Risiken, die mit solchen Technologien einhergehen.
Doch zurück zum Anfang: 2023 kaufte der Sicherheitsforscher Sam Curry seiner Mutter einen Subaru Impreza mit dem Versprechen, dass sie ihm erlauben würde, das Fahrzeug für Sicherheitsanalysen zu verwenden. Der Forscher hatte in den letzten Jahren nach Schwachstellen bei anderen Automobilherstellern gesucht, jedoch bisher keine Gelegenheit gehabt, Subaru genauer zu untersuchen. Während eines Heimatsbesuchs 2024 ergriff er die Gelegenheit und bat um die Anmeldedaten für das Konto, um mögliche Sicherheitslücken zu prüfen.
Wie wurde der Angriff auf Subaru durchgeführt?
Der erste Schritt bestand darin, die MySubaru-App zu testen. Diese App ermöglicht es Nutzern, Fahrzeugbefehle zu senden. Mithilfe von Burp Suite wurde die App analysiert, indem die HTTP-Anfragen der telematischen Befehle abgefangen wurden. Ziel war es, eine Schwachstelle zu finden, die es ermöglichen könnte, Fahrzeuge ohne Autorisierung zu entriegeln. Nach einigen Experimenten stieß der Hacker auf das Subaru STARLINK Admin-Portal, ein System, das alle vernetzten Fahrzeuge des Herstellers verwaltet. Zunächst sah es harmlos aus – eine normale Login-Seite ohne sichtbare Angriffsfläche. Doch ein Blick in den Quellcode offenbarte interessante JavaScript-Dateien, darunter eine namens login.js, die das erste Puzzlestück einer gravierenden Schwachstelle enthielt.
In login.js fand sich ein Code-Schnipsel, der auf ein resetPassword.json-Endpoint hinwies. Überraschenderweise schien dieses Endpoint es zu ermöglichen, das Passwort eines Mitarbeiters allein mit einer gültigen E-Mail-Adresse zurückzusetzen – ganz ohne Bestätigungstoken. Mit diesem Wissen genügte es, eine gültige E-Mail-Adresse zu finden, um Zugriff zu erlangen.
Die Suche nach gültigen E-Mail-Adressen begann mit einer schnellen LinkedIn-Recherche nach Subaru-Softwareingenieuren. Subaru-E-Mails folgen offenbar dem Muster [Erster Buchstabe des Vornamens][Nachname]@subaru.com. Nach ein paar Versuchen konnte eine gültige E-Mail-Adresse verifiziert werden, und der Zugriff war gesichert.
Warum war 2FA bei Subaru keine echte Hürde?
Obwohl eine Zwei-Faktor-Authentifizierung (2FA) den Zugriff hätte erschweren sollen, war diese Sicherheitsmaßnahme nur oberflächlich implementiert. Eine einfache Manipulation des JavaScript-Codes entfernte den 2FA-Overlay, und der Zugriff auf das gesamte Admin-Panel war möglich.
Die tiefgreifendste Funktion des Systems war die Standortverfolgung. Mit dem Namen und der Postleitzahl eines Subaru-Besitzers konnten nicht nur die aktuellen Standorte, sondern auch ein ganzes Jahr voller Bewegungsdaten abgerufen werden. Der Hacker demonstrierte dies mit den Daten seiner Mutter, deren Fahrzeug ihre Fahrten bis auf den Meter genau dokumentierte.
Um die Sicherheit des Systems weiter zu testen, fügte sich der Hacker selbst als autorisierten Benutzer in das Fahrzeug einer Freundin ein. Ohne Benachrichtigungen oder Bestätigungen konnte er über das Admin-Panel ihr Auto entriegeln. Die Freundin bestätigte, dass sie keinerlei Hinweise auf diesen Eingriff erhielt. Innerhalb weniger Stunden konnte der Hacker sensible persönliche Daten einsehen, Fahrzeuge fernsteuern und die Privatsphäre der Besitzer kompromittieren.
Save the date: 29. Automobil-Elektronik Kongress

Am 24. und 25. Juni 2025 findet zum 29. Mal der Internationale Automobil-Elektronik Kongress (AEK) in Ludwigsburg statt. Dieser Netzwerkkongress ist bereits seit vielen Jahren der Treffpunkt für die Top-Entscheider der Elektro-/Elektronik-Branche und bringt nun zusätzlich die Automotive-Verantwortlichen und die relevanten High-Level-Manager der Tech-Industrie zusammen, um gemeinsam das ganzheitliche Kundenerlebnis zu ermöglichen, das für die Fahrzeuge der Zukunft benötigt wird. Trotz dieser stark zunehmenden Internationalisierung wird der Automobil-Elektronik Kongress von den Teilnehmern immer noch als eine Art "automobiles Familientreffen" bezeichnet.
Sichern Sie sich Ihr(e) Konferenzticket(s) für den 29. Automobil-Elektronik Kongress (AEK) im Jahr 2025! Folgen Sie außerdem dem LinkedIn-Kanal des AEK und #AEK_live.
Vernetzte Fahrzeuge als softwaredefinierte Ziele für Cyberangriffe
Die zunehmende Vernetzung und Digitalisierung macht Autos zu Software-definierten Fahrzeugen (SDV), die sowohl technische als auch personenbezogene Daten verarbeiten. Dadurch werden sie zu attraktiven Zielen für Hackerangriffe. Dieser Vorfall verdeutlicht, wie wichtig es ist, Sicherheitslücken frühzeitig zu erkennen und zu schließen. Die Automobilindustrie muss dringend ihre Standards überdenken, um sicherzustellen, dass solch gravierende Schwachstellen nicht ausgenutzt werden können. Ein simples Passwort-Reset sollte nicht ausreichen, um das Leben von Menschen so tiefgehend zu beeinflussen.
Das zeigen auch andere Vorfälle, wie der Fall von KIA in 2024, bei dem Sicherheitsforscher kritische Schwachstellen im Webportal von Kia entdeckten, die es ermöglichten, Millionen Fahrzeuge allein anhand des Nummernschilds aus der Ferne zu lokalisieren, zu starten oder andere Funktionen zu aktivieren. Auch persönliche Daten der Besitzer waren einsehbar, und Angreifer hätten sich unbemerkt Zugriff auf Benutzerkonten verschaffen können. Die Forscher nutzten einen Händler-Account, um über Kia-APIs Fahrzeuge zu übernehmen und demonstrierten die Schwachstellen mit einer App, die jedoch nie veröffentlicht wurde.
Ein Ansatz ist die UN-Verordnung WP.29 und die daraus resultierenden Cybersecurity-Vorgaben, die klare Standards setzen, um diese Risiken zu minimieren. Sie verpflichten Automobilhersteller, eine Ende-zu-Ende-Cybersicherheitsstrategie zu verfolgen, die von der Entwicklung über die Produktion bis hin zur Postproduktion reicht. Der Security-by-Design-Ansatz verlangt, dass Sicherheitsaspekte von Beginn an in die Fahrzeugarchitektur integriert werden. In der Produktion müssen Kryptografie und Authentifizierungsmechanismen standardmäßig eingebaut werden, während Software-Updates over-the-air (OTA)Software-Updates over-the-air (OTA) eine kontinuierliche Verbesserung der Sicherheit ermöglichen. Gleichzeitig sind robuste Krisenmanagement- und Überwachungssysteme notwendig, um potenzielle Cyberangriffe frühzeitig zu erkennen und proaktiv abzuwehren.
38C3 - Wir wissen wo dein Auto steht - Volksdaten von Volkswagen
Alles Infos zur Konferenz Automotive Software Strategy

Am 21. und 22. Mai 2025 findet in München die 5. Konferenz Automotive Software Strategy statt. Zu den Themen zählen unter anderem das Software-Defined Architectures, intelligentes Datensammeln sowie Safety&Security. Aber nicht nur die Vorträge stehen im Vordergrund.
Weitere Informationen zur Automotive Software Strategy finden Sie hier.
Mit dem Rabatt-Code "82510112-AE15" können Sie 15% bei Ihrer Buchung sparen.
Leider kein Einzelfall
Die Umsetzung dieser Vorgaben stellt Hersteller vor immense Herausforderungen, bietet jedoch auch Chancen. Durch die Transformation zu softwaregetriebenen Unternehmen können OEMs neue Geschäftsfelder erschließen, etwa durch digitale Dienste und datengetriebene Geschäftsmodelle. Um diese Potenziale zu nutzen, müssen sich Hersteller jedoch als vertrauenswürdige Hüter von Fahrzeugdaten positionieren – und sich damit klar von großen Technologieunternehmen abgrenzen, die oft mit Datenschutzbedenken kämpfen. Die Beispiele von Fords Idee, abhängig von Gesprächen im Auto personalisierte Werbung auszuspielen und der Fall des Versicherungsgiganten Allstate, der ohne Zustimmung der Nutzer sensible Daten gesammelt und für eigene Zwecke sowie zum Verkauf an Dritte genutzt haben soll.
Alles zur Automotive Computing Conference
Die Automotive Computing Conference konzentriert sich auf die Herausforderungen der Sicherheit, der funktionalen Sicherheit, der Cloud-Konnektivität und der zunehmenden Komplexität des Fahrzeugdesigns. Das Ziel ist es, traditionelle Ansätze zu revolutionieren und an die Bedürfnisse der Automobilindustrie anzupassen. Hochkarätige Referenten werden am 13. und 14. November 2025 in München in die Welt des Automotive High Performance Computing eintauchen und ein breites Spektrum an Aspekten abdecken.
Weitere Infos zur Automotive Computing Conference gibt es hier oder auf dem LinkedIn-Kanal.
Mit dem Code "82510109-AE15" sparen Sie 15% auf den regulären Kaufpreis.
Zudem gibt es 2025 auch die 2. ACC in Amerika am 25. und 26. März 2024 in Detroit.
Der Autor: Dr. Martin Large

Aus dem Schoß einer Lehrerfamilie entsprungen (Vater, Großvater, Bruder und Onkel), war es Martin Large schon immer ein Anliegen, Wissen an andere aufzubereiten und zu vermitteln. Ob in der Schule oder im (Biologie)-Studium, er versuchte immer, seine Mitmenschen mitzunehmen und ihr Leben angenehmer zu gestalten. Diese Leidenschaft kann er nun als Redakteur ausleben. Zudem kümmert er sich um die Themen SEO und alles was dazu gehört bei all-electronics.de.