Autos lassen sich über Hersteller-Apps stehlen
Autohersteller haben in den vergangenen Jahren viel in die Sicherheit der vernetzten Funktionen, aber auch der Kommunikation des Fahrzeugs zu Hersteller-eigenen Servern investiert. Eine Komponente wurde dabei aber offenbar vergessen: die eigenen Apps, mit denen sich viele Autos mittlerweile öffnen und in einigen Fällen sogar starten lassen.
Alle Apps ungeschützt
Von neun überprüften Hersteller-Apps namhafter Automarken wiesen alle schwere Sicherheitsmängel auf, wie die Sicherheitsfirma Kaspersky auf der RSA Conference am Donnerstag mitteilte. In fast allen Fällen wurde der Login-Username unverschlüsselt im System gespeichert, bei zwei Apps sogar inklusive des Passworts, das im Klartext abgelegt wurde. Keine der App verfügte über einen Integritäts-Check sowie das Erkennen von wahrgenommenen Root-Rechten.
Darüber hinaus konnten alle Apps leicht mit Zusatz-Code verändert werden und hatten auch keinen Alarm eingebaut, wenn sich beim Öffnen der App eine zweite - manipulierte - App sofort über die eigentliche App legt. Kaspersky zufolge ist das eine verbreitete Methode, um auf Malware-befallenen Smartphones etwa an Log-in-Daten zu kommen.
Android-Phones betroffen
"Es ist unverständlich, warum Autohersteller diese Sicherheits-Features nicht einbauen, die etwa bei Banking-Apps längst Standard sind. Immerhin können Kriminelle damit auf relativ einfache Weise ein Auto öffnen und sogar den Motor starten", erklärt Kaspersky-Sicherheitsforscher Victor Chebyshev im Gespräch mit der futurezone.
Man habe die Hersteller, die aus Rücksicht auf potenzielle Angriffe nicht öffentlich genannt wurden, bereits über die Schwachstellen informiert, so Chebyshev. Bei den aufgezeigten Angriffsszenarien handelt es sich ausnahmslos um die Android-Versionen der Hersteller-Apps. Die Manipulation ist nur möglich, wenn der Angreifer über das Einschleusen eines Trojaners Root-Rechte erwirbt.
Root-Rechte als Problem
Kaspersky zufolge sind aufgrund der immer noch weit verbreiteten älteren Betriebssystem-Versionen etwa 75 Prozent aller verwendeten Android-Smartphones diesbezüglich verwundbar. 40 Prozent der 2016 am meisten verbreiteten mobilen Malware verfügte über die Funktion, Root-Rechte zu erwerben.
Um welche Autohersteller es sich handelt, ist derzeit Spekulation. Laut Kaspersky wurden Marken aus der ganzen Welt getestet. Da einige der Apps millionenfach installiert wurden, dürften auch sehr große Hersteller darunter sein. Auf einen derartigen Auto-Hack spezialisierte Trojaner sind Kaspersky bisher zwar nicht untergekommen.
Einige bekannte Banken-Trojaner könnten aber mit wenig Aufwand so umprogrammiert werden, dass sie die aufgezeigten Lücken gezielt ausnutzen können, sagte Kaspersky-Forscher Mikhail Kuzin im Gespräch mit der futurezone.
Eine genaue Übersicht über die Schwachstellen der getesteten Apps findet sich auf Kasperskys Securelist-Blog.