Smart-Cars mit Gefahren: Viele Apps enthalten Sicherheitslücken
In den Horrorvisionen aller Smart-Car-Skeptiker übernehmen Hacker die Kontroller über fremde Fahrzeuge und drohen das Vehikel gegen eine Mauer sausen zu lassen, wenn der Fahrgast nicht rasch ein hübsches Sümmchen überweist. Derlei Gedankengänge treiben zwar die Sicherheitsbedenken auf die Spitze, es liegt aber zumindest ein kleiner Funken Wahrheit darin. So haben die Mitarbeiter von Kaspersky Lab mehrere Android-Apps für vernetzte Fahrzeuge getestet. Sie mussten leider erhebliche Sicherheitslücken feststellen, die sich leicht durch Angreifer ausnutzen lassen könnten. Sechs der Apps verschlüsselten zudem die Nutzerdaten nicht.
Allerdings beziehen sich die Erkenntnisse von Kaspersky Lab weniger auf Mölichkeiten, sich in Fahrzeuge direkt über deren interne Technik einzuklinken – selbst wenn hier durch andere Forscher bereits eklatante Fehler nachgewiesen wurden. Nein, die Kaspersky-Leute haben sich vor allem mit Android-Apps für Fahrzeuge beschäftigt. Durch die enthaltenen Sicherheitslücken könnten Dritte die Daten aus den Apps entwenden, sich damit Zugang zum jeweiligen, fremden Fahrzeug verschaffen und eventuell sogar das Auto stehlen. Zwar müsse dafür noch ein passender, digitaler Schlüssel erstellt werden, teilweise sei es dank der Apps aber möglich, die On-Board-Daten der Fahrzeuge zu manipulieren. Durch jene Manipulationen könnte ein Dritter dann seine eigenen, digitalen Schlüssel verwenden, um das Auto nicht nur zu entsperren, sondern auch den Alarm zu deaktivieren.
Alle sieben durch Kaspersky Lab getesteten Apps erlaubten es, die Autotüren zu öffnen. Sechs konnten auch den Motor starten. Zwei der sieben Apps wiederum verschlüsselten weder die Login-Möglichkeiten noch die Nutzerdaten, was den Diebstahl natürlich enorm vereinfacht. Keine der Apps führte eine Integritätsüberprüfung oder einen Check durch, der auf Root-Rechte hinweisen könnte. Entsprechend wird es dadurch Kriminellen erleichtert, manipulierte Varianten der Apps zu erstellen.
Gut, jene manipulierten Versionen müsste sich der Fahrzeughalter dann erst installieren, um z. B. weitere Schritte möglich zu machen. Hier wären aber die üblichen Täuschungsversuche möglich – etwa Phishing-Attacken, die zu vermeintlichen Updates der Apps führen und in Wahrheit die mit Malware versuchten App-Versionen bei den Autobesitzern installieren.
Kaspersky weist darauf hin, dass es zwar aktuell keine Berichte über derartige Malware gebe, die Sorglosigkeit der App-Entwickler überrasche aber dennoch. Und wer ohnehin bei Smart-Cars skeptisch ist, findet hier wohl leider einen guten Anlass, um es auch zu bleiben.
Das kommt jetzt aber überraschend…. Nein eigentlich nicht. War ja klar. Smartcars sehe ich ein für körperlich beeinträchtigte Personen. Ansonsten total useless
Solange der Produzent der Apps oder der Fahrzeuge nicht verpflichtet wird über Jahre regelmäßige Updates und Patches zur Verfügung zu stellen (Das gilt für Autos, wie auch Smarthomeprodukte) und im Schadensfall voll haftbar gemacht werden kann. Sind die Dinger eine gefährliche Spielerei.
Siehe IP-Kameras mit Firmwarebug.
Und viele neuen Fahrzeuge sind heute schon permanent mit dem Internet verbunden. (OnStar…)
Dann wird der Polizist bald nicht nur fragen, haben sie Alkohol getrunken, sondern auch, haben sie aus unsicheren Quellen installiert? Blasen sie mal ihre Apps in die Polizei Cloud!
Zitat: „Derlei Gedankengänge treiben zwar die Sicherheitsbedenken auf die Spitze, es liegt aber zumindest ein kleiner Funken Wahrheit darin.“
Kleiner Funken? Der Text sagt eher aus, das es ein Sicherheits-Desaster ist.
Da steht das Auto dann nicht mehr im Stau, sondern hängt in der Bootschleife.
Für n hard reset einfach Zündschlüssel drehen und gleichzeitig Motorhaube schließen und an den Auspuff packen^^