Wie sicher sind mobile Apps zur Fernsteuerung von Fahrzeugen?

Auf dieser von Kaspersky getesteten App zur Fahrzeugsteuerung ist der Benutzername und das Passwort unverschlüsselt hinterlegt. Bild: Kaspersky

Das IT-Sicherheitsunternehmen Kaspersky hat eine Studie zur Sicherheit mobiler Apps für die Überwachung und Fernsteuerung von Fahrzeugen namhafter Hersteller durchgeführt. Dabei wurde in allen Anwendungen eine Reihe von Sicherheitslücken gefunden.

Im Zuge der Vernetzung moderner Fahrzeuge stellen Smartphones mittlerweile nicht nur Netzwerkverbindungen zum Infotainmentsystem des Autos her. Seit Kurzem können auch kritische Bereiche wie Türverriegelung oder Zündung mit den mobilen Geräten bedient werden. Durch die Nutzung entsprechender Apps lassen sich Standortkoordinaten oder die zurückgelegte Route eine Autos ermitteln, die Türen öffnen, der Motor starten und im Fahrzeug befindliche Geräte kontrollieren.

Sicherheitslücken in allen getesteten Apps
Experten der Firma Kaspersky, Spezialist für IT-Sicherheitsfragen, haben Angaben zufolge einige gravierende Sicherheitslücken bei solchen Apps ausmachen können. Welche Automobilhersteller mit ihren Anwendungen davon betroffen sind, geben sie allerdings nicht bekannt. Kaspersky möchte den entsprechenden Herstellern Zeit zur Nachbesserung geben. Außerdem will das Unternehmen durch die Geheimhaltung der Sicherheitslücken verhindern, Kriminellen zusätzliche Hilfestellung zu geben.

Die gute Nachricht: Bis jetzt haben die Sicherheitsexperten noch keine erfolgreichen Angriffe auf vernetzte Fahrzeuge feststellen können. Allerdings haben die IT-Spezialisten bei sieben mobilen Apps zur Fernsteuerung folgende Sicherheitslücken gefunden:

  • Mangelnder Schutz gegen Rückschlüsse auf die Arbeitsweise der Apps. So können Hacker Schwachstellen leichter identifizieren.
  • Fehlende Prüfungen zur Integrität des Codes, was Kriminellen erlauben würde, die App mit eigenen Programmzeilen zu überschreiben.
  • Keine Rooting-Entdeckungstechniken: Root-Rechte sind mit Administratorrechten zu vergleichen. Apps sind Schadprogrammen in diesen Fällen schutzlos ausgeliefert.
  • Keine Absicherung gegen Schadanwendungen die neue Fenster einblenden können und beispielsweise mit dem sogenannten Phishing – also durch die Nachahmung vertrauenswürdiger Internetseiten – Nutzerdaten klauen.
  • Nutzernamen und Passwörter werden im Klartext abgespeichert und sind damit für Cyberkriminelle sehr leicht auslesbar.

Nur unzureichend geschützt
Der Zugriff auf die Steuerungs-App eines Automobilherstellers ist allerdings nicht ganz einfach. Um Kriminellen den Zugang zu sensiblen Daten zu ermöglichen, müssen die Nutzer zuerst dazu gebracht werden, eine schädliche App auf ihrem Gerät zu installieren. Ein solches Vorgehen gehört aber laut Meinung der Experten zum Standardrepertoire Cyberkrimineller.

Victor Chebyshev, Sicherheitsexperte bei Kaspersky Lab, erklärt: „Als wichtigstes Ergebnis unserer Untersuchung können wir festhalten, dass Fahrzeug-Apps derzeit noch nicht hinreichend gegen Angriffe durch Malware geschützt sind. Es reicht nicht aus, nur die serverseitige Infrastruktur abzusichern. Wir erwarten, dass die Autoindustrie den gleichen Weg gehen wird wie die Banken bei ihren ersten Finanz-Apps. Diese waren anfänglich auch mit Risiken behaftet. Viele Banken haben dann nach zahlreichen Sicherheitsvorfällen den Schutz ihrer Finanz-Apps verbessert“.

Der Experte betont des Weiteren, dass die Hersteller noch etwas Zeit haben, da sich, wie einleitend schon erwähnt, bislang noch keine Angriffe auf Fahrzeug-Apps feststellen ließen. Trotzdem empfiehlt Kaspersky allen Besitzern vernetzter Fahrzeuge, die folgenden drei Ratschläge zu beachten, um sich vor Cyberangriffen zu schützen:

  • Android-Geräte niemals rooten. Sobald der Nutzer Adminrechte beziehungsweise Rootrechte besitzt, kann er unter Android im Prinzip das komplette System verändern. Dies würde schädlichen Apps alle Türen öffnen.
  • Die Möglichkeit, Apps auch außerhalb der offiziellen App-Stores zu installieren, sollte auf mobilen Geräten gesperrt werden.
  • Um das Risiko von Angriffen so gering wie möglich zu halten, sollte der Nutzer das Betriebssystem der Geräte immer auf den neuesten Stand halten und über eine Sicherheitssoftware schützen.