Sicherheitslücke bei Blaulicht-Nutzfahrzeugen
Standorte von Rosenbauer-Technik im Internet einsehbar
Über eine Funktion zur »Live-Ortung« können Kunden des österreichischen Rosenbauer-Konzerns Geodaten mit genauen Koordinaten ihrer Nutzfahrzeuge abrufen. Diese Daten von Feuerwehren, Polizei und Militärs aus verschiedenen Ländern waren öffentlich einsehbar, wie das Hackerkollektiv »Zerforschung« herausfand[1]. Dabei wurde jeweils angezeigt, welche Organisation das Fahrzeug betreibt. Sichtbar waren außerdem Geodaten von an Bord eingerüsteten Drohnen des chinesischen Herstellers DJI.
Der Zugriff sei über einen QR-Code gelungen, den Rosenbauer in sozialen Medien veröffentlicht hat. Der darin enthaltene Link habe die Hacker zu einer Webseite »Connected Fleet« geführt, auf der sich Kunden einloggen können. Dieser Zugang sei nicht ausreichend gesichert worden, erklärt »Zerforschung« in ihrem Blog.
In der nur in Auszügen veröffentlichten Liste von 365 Organisationen mit angeblich 4300 Fahrzeugen finden sich Feuerwehren und Katastrophenschutzbehörden aus Deutschland, Österreich, Großbritannien oder dem Iran. Für das Militär sind demnach die Schweiz und Litauen Kunden bei Rosenbauer. Die Firma fertigt auch Wasserwerfer, von denen deutsche Polizeien rund 80 Exemplare bestellt haben. In dem Posting der Hackergruppe werden diese aber nicht erwähnt.
»Zerforschung« sucht Sicherheitslücken in Software und meldet diese an die Hersteller. Anschließend werden die Informationen öffentlich gemacht, ohne Zugangsdaten zu verraten. Für Experten sind die Hacks jedoch nachvollziehbar, sofern die betroffene Sicherheitslücke noch existiert.
Links:
- https://zerforschung.org/posts/rosenbauer/