Kontrolle über vernetzte Fahrzeuge Kaspersky-Studie deckt Sicherheitsmängel bei Auto-Apps auf

Kaspersky Lab untersucht mobile Apps verschiedener Automobilhersteller. Gefunden wurden Sicherheitslücken, wie die Abspeicherung von Nutzernamen und Passwörter im Klartext.
Kaspersky Lab untersucht mobile Apps verschiedener Automobilhersteller. Gefunden wurden Sicherheitslücken, wie die Abspeicherung von Nutzernamen und Passwörter im Klartext.

Kaspersky Lab hat eine Studie zur Sicherheit mobiler Apps für die Fernsteuerung von Fahrzeugen verschiedener Hersteller durchgeführt. Dabei wurde in allen Anwendungen Sicherheitslücken gefunden, die von Cyberkriminellen missbraucht und zu erheblichen Schäden für Fahrzeugbesitzer führen könnten.

In den vergangenen Jahren wurden immer mehr Fahrzeuge an das Internet angebunden; es existieren mittlerweile Verbindungen zum Infotainment-System, aber auch zu kritischen Bereichen, wie Fahrzeugschloss oder Zündung. Mit mobilen Apps können Standortkoordinaten oder die zurückgelegte Route eine Autos ermittelt, Türen geöffnet, der Motor gestartet und im Fahrzeug befindliche Geräte kontrolliert werden.
Kaspersky Lab hat sieben mobile Apps zur Fernsteuerung von Fahrzeugen verschiedener OEMs in Hinsicht auf Security untersucht. Gemessen an der Statistik von Google Play wurden die Apps zehntausendfach heruntergeladen, in einigen Fällen erreichten die Downloads sogar die Fünfmillionen-Marke. Im Laufe der Untersuchung zeigten sich bei allen Anwendungen verschiedene Sicherheitslücken:

  • Mangelnder Schutz gegen Reverse Engineering: Damit ist es Hackern möglich, Rückschlüsse auf die Arbeitsweise der Apps zu ziehen und so Schwachstellen zu identifizieren, mit denen sie Zugriff auf den Server oder das im Fahrzeug eingebaute Multimediasystem bekommen.
  • Fehlende Prüfungen zur Integrität des Codes, was Kriminellen erlauben würde, die App mit eigenen Programmzeilen zu überschreiben und so das Original- mit einem Fake-Programm zu ersetzen.
  • Keine Rooting-Entdeckungstechniken: Root-Rechte geben Trojanern zahlreiche Möglichkeiten, denen Apps dann schutzlos ausgeliefert sind.
  • Keine Absicherung gegen App-Overlays: Schadanwendungen könnten so eigene Fenster beispielsweise zum Phishing von Nutzerdaten auf der App anzeigen lassen.
  • Nutzernamen und Passwörter werden im Klartext abgespeichert und sind damit für Cyberkriminelle sehr leicht auslesbar.

Angreifer können diese Sicherheitlücken nutzen, um die Kontrolle über das Fahrzeug zu erlangen, Türen zu öffnen, den Alarm ausschalten und da Fahrzeug zu stehlen. Allerdings müsste zuvor, eine schädliche App auf das Gerät zu installiert werden. Aber: Ein solches Vorgehen über beispielsweise Social-Engineering-Tricks zählt zum Standard-Repertoire Cyberkrimineller.

»Als wichtigstes Ergebnis unserer Untersuchung können wir festhalten, dass derzeit Fahrzeug-Apps noch nicht hinreichend gegen Angriffe durch Malware geschützt sind. Es reicht nicht aus, nur die Server-seitige Infrastruktur abzusichern. Wir erwarten, dass die Autoindustrie den gleichen Weg gehen wird wie die Banken bei ihren ersten Finanz-Apps. Diese waren anfänglich auch mit Risiken behaftet. Viele Banken haben dann nach zahlreichen Sicherheitsvorfällen den Schutz ihrer Finanz-Apps verbessert«, erklärt Victor Chebyshev, Sicherheitsexperte bei Kaspersky Lab. »Glücklicherweise gab es bislang noch keine Angriffe auf Fahrzeug-Apps. Die Hersteller haben also noch Zeit, um hier nachzubessern.«