Cyber-Sicherheit

Kaspersky prüft Automobil-Apps

| Redakteur: Thomas Günnel

Der Anbieter für Sicherheitssoftware, Kaspersky, hat aktuelle Automobil-Apps für das Smartphone untersucht, die auf dem Betriebssystem Android basieren.
Der Anbieter für Sicherheitssoftware, Kaspersky, hat aktuelle Automobil-Apps für das Smartphone untersucht, die auf dem Betriebssystem Android basieren. (Bild: Audi)

Experten von Kaspersky Lab haben eine Studie zur Sicherheit mobiler Apps für die Fernsteuerung von Fahrzeugen durchgeführt. Ihr Fazit: Alle Anwendungen weisen eine Reihe von Sicherheitslücken auf.

In den vergangenen Jahren wurden immer mehr Fahrzeuge an das Internet angebunden – es existieren mittlerweile Verbindungen zum Infotainment-System, aber auch zu kritischen Bereichen, wie dem Fahrzeugschloss oder der Zündung. Mittels mobiler Apps lassen sich Standortkoordinaten oder die zurückgelegte Route eine Autos ermitteln, Türen öffnen, der Motor starten und im Fahrzeug befindliche Geräte kontrollieren. Sicherheitsexperten von Kaspersky Lab haben sieben mobile Apps zur Fernsteuerung von Fahrzeugen bedeutender Automobilhersteller hinsichtlich deren Cybersicherheit untersucht. Gemessen an der Statistik von Google Play wurden die Apps zehntausendfach heruntergeladen, in einigen Fällen erreichten die Downloads sogar die Fünfmillionen-Marke.

Die wichtigsten Sicherheitslücken

Bei der Untersuchung zeigten sich bei allen Anwendungen diverse Sicherheitslücken:

  • Mangelnder Schutz gegen „Reverse Engineering“: Damit ist es Cyberkriminellen möglich, Rückschlüsse auf die Arbeitsweise der Apps zu ziehen und so Schwachstellen zu identifizieren, mit denen sie Zugriff auf den Server oder das im Fahrzeug eingebaute Multimediasystem bekommen.
  • Fehlende Prüfungen zur Integrität des Codes, was Kriminellen erlauben würde, die App mit eigenen Programmzeilen zu überschreiben und so das Original- durch ein Fake-Programm zu ersetzen.
  • Keine „Rooting“-Entdeckungstechniken: Root-Rechte geben Trojanern zahlreiche Möglichkeiten, denen Apps dann schutzlos ausgeliefert sind.
  • Keine Absicherung gegen „App-Overlays“: Schadanwendungen könnten so eigene Fenster beispielsweise zum Phishing von Nutzerdaten auf der App anzeigen lassen.
  • Nutzernamen und Passwörter werden im Klartext abgespeichert und sind damit für Cyberkriminelle sehr leicht auslesbar.

„Die Hersteller können noch nachbessern“

Nutzen Angreifer diese Sicherheitslücken aus, können sie laut Kaspersky die Kontrolle über das Fahrzeug erlangen, die Türen öffnen, den Alarm ausschalten und den Pkw theoretisch stehlen. Allerdings müssten Cyberkriminelle Nutzer dazu bringen, eine schädliche App auf das Gerät zu installieren. Ein solches Vorgehen über beispielsweise Social-Engineering-Tricks zählt zum Standard-Repertoire Cyberkrimineller. „Als wichtigstes Ergebnis unserer Untersuchung können wir festhalten, dass derzeit Fahrzeug-Apps noch nicht hinreichend gegen Angriffe durch Malware geschützt sind. Es reicht nicht aus, nur die Server-seitige Infrastruktur abzusichern. Wir erwarten, dass die Autoindustrie den gleichen Weg gehen wird wie die Banken bei ihren ersten Finanz-Apps. Diese waren anfänglich auch mit Risiken behaftet. Viele Banken haben dann nach zahlreichen Sicherheitsvorfällen den Schutz ihrer Finanz-Apps verbessert“, erklärt Victor Chebyshev, Sicherheitsexperte bei Kaspersky Lab. „Glücklicherweise gab es bislang noch keine Angriffe auf Fahrzeug-Apps. Die Hersteller haben also noch Zeit, um hier nachzubessern.“

Die Anwender können sich ebenfalls schützen. Die Standard-Hinweise sind, das Betriebssystem auf dem aktuellen Stand zu halten und eine Sicherheitssoftware zu installieren. Darüber hinaus empfiehlt Kaspersky, Android-Geräte niemals zu rooten – vereinfacht gesagt, Administratorrechte auf dem Gerät einzurichten – und die Funktion zu sperren, Apps auch außerhalb der offiziellen App-Stores zu installieren.

Kommentare werden geladen....

Kommentar zum Beitrag schreiben
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44534647 / IT)