In den vergangenen Jahren wurden immer mehr Fahrzeuge an das Internet angebunden; es existieren mittlerweile Verbindungen zum Infotainment-System, aber auch zu kritischen Bereichen, wie das Fahrzeugschloss oder die Zündung. Mittels mobiler Apps können Standortkoordinaten oder die zurückgelegte Route eine Autos ermittelt, Türen geöffnet, der Motor gestartet und im Fahrzeug befindliche Geräte kontrolliert werden.
Sicherheitsexperten von Kaspersky Lab haben sieben mobile Apps zur Fernsteuerung von Fahrzeugen bedeutender Automobilhersteller hinsichtlich deren Cybersicherheit untersucht. Namentlich nennt der Softwarehersteller keinen der getesteten Hersteller. Bekanntermaßen bieten aber unter anderem Mercedes, Volvo und General Motors entsprechende Apps an.
Gemessen an der Statistik von Google Play wurden die getesteten Apps zehntausendfach heruntergeladen, in einigen Fällen erreichten die Downloads sogar die Fünfmillionen-Marke. Im Laufe der Untersuchung zeigten sich bei allen Anwendungen verschiedene Sicherheitslücken:
Mangelnder Schutz gegen Reverse Engineering: Damit ist es Cyberkriminellen möglich, Rückschlüsse auf die Arbeitsweise der Apps zu ziehen und so Schwachstellen zu identifizieren, mit denen sie Zugriff auf den Server oder das im Fahrzeug eingebaute Multimediasystem bekommen.
Fehlende Prüfungen zur Integrität des Codes, was Kriminellen erlauben würde, die App mit eigenen Programmzeilen zu überschreiben und so das Original- mit einem Fake-Programm zu ersetzen.
Keine Rooting-Entdeckungstechniken: Root-Rechte geben Trojanern zahlreiche Möglichkeiten, denen Apps dann schutzlos ausgeliefert sind.
Keine Absicherung gegen App-Overlays: Schadanwendungen könnten so eigene Fenster beispielsweise zum Phishing von Nutzerdaten auf der App anzeigen lassen.
Nutzernamen und Passwörter werden im Klartext abgespeichert und sind damit für Cyberkriminelle sehr leicht auslesbar.
Bei Ausnutzung dieser Sicherheitslücken könnten Angreifer die Kontrolle über das Fahrzeug erlangen, die Türen öffnen, den Alarm ausschalten und den PKW theoretisch stehlen.
Allerdings müssten Cyberkriminelle Nutzer dazu bringen, eine schädliche App auf das Gerät zu installieren. Ein solches Vorgehen über beispielsweise Social-Engineering-Tricks zählt zum Standard-Repertoire Cyberkrimineller.
Victor Chebyshev, Sicherheitsexperte bei Kaspersky Lab kritisiert: „Fahrzeug-Apps sind derzeit noch nicht hinreichend gegen Angriffe durch Malware geschützt." Es reiche nicht aus, nur die Serverseitige Infrastruktur abzusichern. "Wir erwarten, dass die Autoindustrie den gleichen Weg gehen wird wie die Banken bei ihren ersten Finanz-Apps. Diese waren anfänglich auch mit Risiken behaftet", so Chebyshev.
Viele Banken hätten dann nach zahlreichen Sicherheitsvorfällen den Schutz ihrer Finanz-Apps verbessert. "Glücklicherweise gab es bislang noch keine Angriffe auf Fahrzeug-Apps. Die Hersteller haben also noch Zeit, um hier nachzubessern", sagt Chebyshev.
Kaspersky Lab empfiehlt Besitzern vernetzter Fahrzeugen die folgenden Ratschläge zu beachten, um sich entsprechend vor Cyberangriffen zu schützen:
1. Android-Geräte niemals rooten. Dies würde schädlichen Apps alle Türen öffnen.
2. Die Möglichkeit, Apps auch außerhalb der offiziellen App-Stores zu installieren, sollte auf mobilen Geräten gesperrt werden.
3. Um das Risiko von Angriffen so gering wie möglich zu halten, sollte das Betriebssystem der Geräte immer auf den neuesten Stand gehalten werden.
4. Außerdem sollten die Geräte über eine Sicherheitssoftware entsprechend geschützt werden.
Lesen Sie auch:
Opel erweitert OnStar-Angebot: Service sucht jetzt auch Parkplätze und Hotelzimmer
ADAC bemängelt Keyless-Systeme - 100 Modelle leicht knackbar