Wie Mängel bei Auto-Apps die Sicherheit gefährden

×

Experten von Kaspersky Lab haben eine Studie zur Sicherheit mobiler Apps für die Fernsteuerung von Fahrzeugen namhafter Hersteller durchgeführt. Dabei seien in allen Anwendungen eine Reihe von Sicherheitslücken gefunden worden, berichtet das IT-Sicherheitsunternehmen. Diese könnten von Cyberkriminellen missbraucht und zu erheblichen Schäden für Fahrzeugbesitzer führen. 

In den vergangenen Jahren wurden immer mehr Fahrzeuge an das Internet angebunden. Per App lassen sich inzwischen Parkplätze suchen oder sogar das Autowaschen organisieren. Es existieren mittlerweile Verbindungen zum Infotainment-System, aber auch zu kritischen Bereichen, wie das Fahrzeugschloss oder die Zündung. Mittels mobiler Apps könnten Standortkoordinaten oder die zurückgelegte Route eine Autos ermittelt, Türen geöffnet, der Motor gestartet und im Fahrzeug befindliche Geräte kontrolliert werden, erklärt Kaspersky. "Spätestens dann ist die höchste Alarmstufe erreicht", betont auch Sebastian Labitzke, Security-Verantwortlicher von ITK Engineering, im Interview "Security mit mehr Pragmatismus angehen" aus der ATZelektronik 6-2016. 

Sieben mobile Apps zur Fernsteuerung von Autos getestet

Die Sicherheitsexperten von Kaspersky Lab haben daher sieben mobile Apps zur Fernsteuerung von Fahrzeugen bedeutender Automobilhersteller hinsichtlich deren Cybersicherheit untersucht. Gemessen an der Statistik von GooglePlay seien die Apps zehntausendfach heruntergeladen worden, in einigen Fällen hätten die Downloads sogar die Fünfmillionen-Marke erreicht, so Kaspersky. Im Laufe der Untersuchung hätten sich bei allen Anwendungen verschiedene Sicherheitslücken gezeigt:

• Mangelnder Schutz gegen Reverse Engineering: Damit ist es Cyberkriminellen möglich, Rückschlüsse auf die Arbeitsweise der Apps zu ziehen und so Schwachstellen zu identifizieren, mit denen sie Zugriff auf den Server oder das im Fahrzeug eingebaute Multimediasystem bekommen.
• Fehlende Prüfungen zur Integrität des Codes, was Kriminellen erlauben würde, die App mit eigenen Programmzeilen zu überschreiben und so das Original- mit einem Fake-Programm zu ersetzen.
• Keine Rooting-Entdeckungstechniken: Root-Rechte geben Trojanern zahlreiche Möglichkeiten, denen Apps dann schutzlos ausgeliefert sind.
• Keine Absicherung gegen App-Overlays: Schadanwendungen könnten so eigene Fenster beispielsweise zum Phishing von Nutzerdaten auf der App anzeigen lassen.
• Nutzernamen und Passwörter werden im Klartext abgespeichert und sind damit für Cyberkriminelle sehr leicht auslesbar.

Bei Ausnutzung dieser Sicherheitslücken könnten Angreifer laut Kaspersky Lab die Kontrolle über das Fahrzeug erlangen, die Türen öffnen, den Alarm ausschalten und den Pkw theoretisch stehlen. Allerdings müssten Cyberkriminelle Nutzer dazu bringen, eine schädliche App auf das Gerät zu installieren. Ein solches Vorgehen über beispielsweise Social-Engineering-Tricks zähle aber zum Standard-Repertoire Cyberkrimineller.

"Als wichtigstes Ergebnis unserer Untersuchung können wir festhalten, dass derzeit Fahrzeug-Apps noch nicht hinreichend gegen Angriffe durch Malware geschützt sind. Es reicht nicht aus, nur die Server-seitige Infrastruktur abzusichern. Wir erwarten, dass die Autoindustrie den gleichen Weg gehen wird wie die Banken bei ihren ersten Finanz-Apps. Diese waren anfänglich auch mit Risiken behaftet. Viele Banken haben dann nach zahlreichen Sicherheitsvorfällen den Schutz ihrer Finanz-Apps verbessert", erklärt Victor Chebyshev, Sicherheitsexperte bei Kaspersky Lab. "Glücklicherweise gab es bislang noch keine Angriffe auf Fahrzeug-Apps. Die Hersteller haben also noch Zeit, um hier nachzubessern."

Gemeinsam die Sicherheit von Connected Cars erhöhen 

Wie lässt sich die Sicherheit von Connected Cars erhöhen? "Neue Teams von Security-Experten werden benötigt und zwar aus unterschiedlicher Domänen: der IT-Security und der Automotive Embedded. Es müssen zudem Experten für Protokolle und Architekturen an denselben Tisch, genauso wie die Mobile-App-Entwickler", sagt Sebastian Labitzke. Beispielweise werden bei ITK die Vertreter dieser Domänen seit sechs Jahren zusammengebacht. "Wir leben diesen Austausch und das bringt uns und die Security-Lösungen enorm gut weiter", so Labitzke.

Auf Austausch setzten auch die Experten der Softwarefirma Symantec: "Dieses umfangreiche und komplexe Problem kann nur durch gemeinsame Erkenntnisse und Anstrengungen von Unternehmen aus der Automobilbranche, der Forschung und IT- sowie OT- (Operations Technology)-Sicherheit gelöst werden", raten Thomas Hemker und Olaf Mischkovsky im Artikel Erforderliche Schutzmaßnahmen für das (vernetzte) Auto aus der DUD 4-2017. Die Planung sicherer Autos sei zeitaufwendig und alle Beteiligten müssten anfangen, diese Sicherheitsprobleme auf allen Ebenen der Wertschöpfungskette zu lösen, so die Springer-Autoren.

Besitzern vernetzter Fahrzeuge empfiehlt Kaspersky Lab, Android-Geräte niemals zu rooten, Apps außerhalb der offiziellen App-Stores nicht auf mobilen Geräten zu installieren, das Betriebssystem der Geräte immer auf den neuesten Stand zu halten und Geräte über eine Sicherheitssoftware zu schützen.