Smart-Cars mit Gefahren: Viele Apps enthalten Sicherheitslücken

In den Horrorvisionen aller Smart-Car-Skeptiker übernehmen Hacker die Kontroller über fremde Fahrzeuge und drohen das Vehikel gegen eine Mauer sausen zu lassen, wenn der Fahrgast nicht rasch ein hübsches Sümmchen überweist. Derlei Gedankengänge treiben zwar die Sicherheitsbedenken auf die Spitze, es liegt aber zumindest ein kleiner Funken Wahrheit darin. So haben die Mitarbeiter von Kaspersky Lab mehrere Android-Apps für vernetzte Fahrzeuge getestet. Sie mussten leider erhebliche Sicherheitslücken feststellen, die sich leicht durch Angreifer ausnutzen lassen könnten. Sechs der Apps verschlüsselten zudem die Nutzerdaten nicht.

Allerdings beziehen sich die Erkenntnisse von Kaspersky Lab weniger auf Mölichkeiten, sich in Fahrzeuge direkt über deren interne Technik einzuklinken – selbst wenn hier durch andere Forscher bereits eklatante Fehler nachgewiesen wurden. Nein, die Kaspersky-Leute haben sich vor allem mit Android-Apps für Fahrzeuge beschäftigt. Durch die enthaltenen Sicherheitslücken könnten Dritte die Daten aus den Apps entwenden, sich damit Zugang zum jeweiligen, fremden Fahrzeug verschaffen und eventuell sogar das Auto stehlen. Zwar müsse dafür noch ein passender, digitaler Schlüssel erstellt werden, teilweise sei es dank der Apps aber möglich, die On-Board-Daten der Fahrzeuge zu manipulieren. Durch jene Manipulationen könnte ein Dritter dann seine eigenen, digitalen Schlüssel verwenden, um das Auto nicht nur zu entsperren, sondern auch den Alarm zu deaktivieren.

Alle sieben durch Kaspersky Lab getesteten Apps erlaubten es, die Autotüren zu öffnen. Sechs konnten auch den Motor starten. Zwei der sieben Apps wiederum verschlüsselten weder die Login-Möglichkeiten noch die Nutzerdaten, was den Diebstahl natürlich enorm vereinfacht. Keine der Apps führte eine Integritätsüberprüfung oder einen Check durch, der auf Root-Rechte hinweisen könnte. Entsprechend wird es dadurch Kriminellen erleichtert, manipulierte Varianten der Apps zu erstellen.

Gut, jene manipulierten Versionen müsste sich der Fahrzeughalter dann erst installieren, um z. B. weitere Schritte möglich zu machen. Hier wären aber die üblichen Täuschungsversuche möglich – etwa Phishing-Attacken, die zu vermeintlichen Updates der Apps führen und in Wahrheit die mit Malware versuchten App-Versionen bei den Autobesitzern installieren.

Kaspersky weist darauf hin, dass es zwar aktuell keine Berichte über derartige Malware gebe, die Sorglosigkeit der App-Entwickler überrasche aber dennoch. Und wer ohnehin bei Smart-Cars skeptisch ist, findet hier wohl leider einen guten Anlass, um es auch zu bleiben.

(via ArsTechnica)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

André Westphal

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. Das kommt jetzt aber überraschend…. Nein eigentlich nicht. War ja klar. Smartcars sehe ich ein für körperlich beeinträchtigte Personen. Ansonsten total useless

  2. Solange der Produzent der Apps oder der Fahrzeuge nicht verpflichtet wird über Jahre regelmäßige Updates und Patches zur Verfügung zu stellen (Das gilt für Autos, wie auch Smarthomeprodukte) und im Schadensfall voll haftbar gemacht werden kann. Sind die Dinger eine gefährliche Spielerei.
    Siehe IP-Kameras mit Firmwarebug.

    Und viele neuen Fahrzeuge sind heute schon permanent mit dem Internet verbunden. (OnStar…)

  3. Dann wird der Polizist bald nicht nur fragen, haben sie Alkohol getrunken, sondern auch, haben sie aus unsicheren Quellen installiert? Blasen sie mal ihre Apps in die Polizei Cloud!

  4. Zitat: „Derlei Gedankengänge treiben zwar die Sicherheitsbedenken auf die Spitze, es liegt aber zumindest ein kleiner Funken Wahrheit darin.“

    Kleiner Funken? Der Text sagt eher aus, das es ein Sicherheits-Desaster ist.

  5. Da steht das Auto dann nicht mehr im Stau, sondern hängt in der Bootschleife.
    Für n hard reset einfach Zündschlüssel drehen und gleichzeitig Motorhaube schließen und an den Auspuff packen^^

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.