Mehrere Schwachstellen, die Millionen von Fahrzeugen von 16 verschiedenen Herstellern betreffen, könnten dazu missbraucht werden, Autos zu entriegeln, zu starten und zu verfolgen und die Privatsphäre der Fahrzeugbesitzer zu beeinträchtigen.
Die Sicherheitslücken wurden in den Automobil-APIs von Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce und Toyota sowie in der Software von Reviver, SiriusXM und Spireon gefunden.
Die Untersuchung baut auf früheren Erkenntnissen von Ende letzten Jahres auf, als der Yuga Labs-Forscher Sam Curry et al. Sicherheitslücken in einem von SiriusXM bereitgestellten Dienst für vernetzte Fahrzeuge aufzeigte, die Autos dem Risiko von Fernangriffen aussetzen könnten.
Die schwerwiegendste der Schwachstellen, die die Telematiklösung von Spireon betreffen, hätte ausgenutzt werden können, um vollständigen administrativen Zugriff zu erlangen, wodurch ein Angreifer in der Lage gewesen wäre, beliebige Befehle an etwa 15,5 Millionen Fahrzeuge zu senden und die Firmware der Geräte zu aktualisieren.