Im Grunde genommen ist jedes moderne Auto ein Computer auf vier Rädern. Viele der neuesten Modelle sind mittlerweile mit dem Internet verbunden, weshalb Autohersteller neben ihren Fahrzeugen nun auch eigene Apps zur Fernsteuerung entwickeln. Mit diesen Anwendungen kann der Standort des Autos ermittelt, die Heizung oder Klimaanlage im Voraus eingeschaltet, die Türen ver- und entriegelt werden und vieles mehr.
Die Anforderungen von Nutzern sind jedoch sehr divers, und somit ist es unmöglich, alle Wünsche und Funktionen in einer einzigen App zu vereinen. So gibt es neben der Software der Autohersteller auch Drittanbieter-Apps für jeden Geschmack und Geldbeutel, die vor allem eines sind: bequem. Aber sind sie auch sicher? Unsere Forscher haben genau das untersucht…
Wer fährt Ihr Auto?
Damit das Fahrzeug sicher sein kann, dass Sie der Nutzer der App sind, müssen Sie zunächst Ihren Benutzernamen und das zugehörige Passwort eingeben. Wenn Sie die herstellereigene App verwenden, werden Ihre Anmeldeinformationen nicht an Dritte weitergegeben, was ein gutes Zeichen ist. Darüber hinaus gibt es einige Sicherheitsstandards für Autohersteller, die ihre Produkte erfüllen müssen.
Fällt Ihre Wahl auf eine Drittanbieter-App mit einzigartigen Funktionen, die es in der offiziellen App nicht gibt, muss die Anwendung Zugriff auf das Fahrzeug oder dessen Telemetriedaten erhalten. Einige Apps verwenden speziell vom Autohersteller für diesen Zweck entwickelte Lösungen, die keine Anmeldeinformationen erfordern und eingeschränkten Zugriff auf das Fahrzeug erhalten, sodass zwar die Funktionen genutzt werden können, aber potenziell gefährliche Features wie das Entriegeln der Türen blockiert werden. Diese Apps sind mehr oder weniger sicher, aber leider in der Unterzahl.
Die meisten Auto-Apps erfordern deshalb den Benutzernamen und das Passwort für Ihr Hersteller-Konto; das heißt, sie erhalten vollen Zugriff auf Ihr Konto. Die Sicherheitsanforderungen der Autohersteller greifen wiederum nicht für diese Apps, und genau hier liegt das Problem.
Vertrauen ist gut, Kontrolle ist besser?
Das Hauptaugenmerk der Untersuchung lag auf den mobilen Apps von Drittanbietern, die das vom Hersteller bereitgestellte Konto des Fahrzeughalters nutzen. Leider warnen mehr als die Hälfte der App-Entwickler nicht vor den Risiken einer Konto-Übergabe. Die Anwendungen, die den Benutzer warnen, versichern, dass sie die Anmeldeinformationen entweder gar nicht oder nur in verschlüsselter Form speichern. Einige von ihnen betonen sogar, dass der Benutzername und das Passwort lediglich benötigt werden, um einen Autorisierungstoken zu erhalten. Ein solcher Token ermöglicht es jedoch jedem, das Konto in Ihrem Namen zu nutzen; darüber hinaus könnte der Token, ebenso wie Ihre Anmeldedaten, durch ein Datenleck an die Öffentlichkeit geraten. Ein weiterer Nachteil ist, dass es keine Möglichkeit gibt zu überprüfen, was tatsächlich mit Ihren Zugangsdaten passiert: Entweder Sie vertrauen den Entwicklern oder nutzen die App nicht.
Hinzu kommt, dass die Entwickler von 14 % der von unseren Forschern untersuchten Apps bei Problemen nicht erreichbar waren: Entweder fehlten die Kontaktdaten auf ihren Webseiten ganz oder verwiesen auf bereits entfernte Social-Media-Konten.
Ähnlich verhält es sich mit Webdiensten: Der Nutzer gibt seine Zugangsdaten in fremde Hände, ohne genau zu wissen, wie diese gespeichert und verarbeitet werden. Open-Source-Lösungen sind da transparenter: Technisch versierte Nutzer können immerhin einen genaueren Blick auf den Code werfen. Für Nutzer ohne technischen Hintergrund ist das aber womöglich keine zufriedenstellende Lösung.
Ein weiteres Problem ist, dass es zudem Vermittlungsdienstleister gibt, die die Systeme der Autohersteller mit Apps von Drittanbietern verbinden. Dabei sollten Sie wissen, dass Ihre Daten in diesem Fall in die Hände beider Parteien – Vermittlungsdienst und Auto-App-Entwickler – gelangen.
Welche Risiken birgt der Zugriff von Drittanbieter-Apps auf Ihr Fahrzeug?
Wenn Ihre Anmeldeinformationen nicht sicher gespeichert werden, können Kriminelle viel einfacher darauf zugreifen. Wahrscheinlich werden sie es nicht schaffen Ihr Auto zu stehlen, aber immerhin können sie die verschiedenen Systemkomponenten fernsteuern: Türen und Fenster, Klimaanlage, Hupe, Scheinwerfer usw. Wenn dies während der Fahrt geschieht, kann das nicht nur unangenehm, sondern auch mehr als gefährlich werden.
Für Sie mag das auf den ersten Blick wie ein James-Bond-Szenario klingen: Aber gelangen solche Daten erst einmal an die Öffentlichkeit, können Sie von jedem x-beliebigen missbraucht werden. Auch, wenn sich diese Person vielleicht nur einen (schlechten) Scherz erlauben möchte und nicht einmal weiß, welche Folgen dieser scheinbare Spaß haben könnte.
Wird eine solche Anwendung gehackt, haben die Angreifer außerdem Zugriff auf alle gesammelten Daten, einschließlich Geolokalisierungsdaten und können Autobesitzer somit auf Schritt und Tritt verfolgen.
Hier ein aktuelles Beispiel. Vor geraumer Zeit entdeckte der 19-jährige Sicherheitsexperte David Colombo versehentlich eine Schwachstelle in der TeslaMate-App zum Sammeln, Speichern und Visualisieren von Telemetriedaten von Tesla-Fahrzeugen. Er konnte herausfinden, wo die Autobesitzer wohnten, wohin und mit welcher Geschwindigkeit sie fuhren, wo die Fahrzeuge geparkt waren, wo sie aufgeladen wurden und welche Updates auf diesen Autos installiert waren.
Obwohl die App selbst nur zum Sammeln von Daten und nicht zum Steuern des Autos konzipiert war, gelang Colombo genau das. Und auch nur, weil er mit einem Standardpasswort auf die Anmeldeinformationen des Benutzers zugreifen konnte; einige Informationen konnten sogar ohne jegliche Autorisierung abgerufen werden. Das Problem wurde relativ schnell von den App-Entwicklern behoben, nachdem Colombo sie darüber informiert hatte. Obwohl es in dieser Geschichte ein Happy End gab, zeigt sie, dass Auto-Apps von Drittanbietern möglicherweise nicht so zuverlässig sind, wie ihre Entwickler behaupten.
Sind Drittanbieter-Apps deshalb tabu?
All das soll nicht heißen, dass Drittanbieter-Apps unter keinen Umständen verwendet werden sollten. Die Sicherheit Ihrer Daten ist nicht allen Entwicklern gleichgültig. Unseres Erachtens nach haben die Entwickler von TeslaMate ziemlich schnell auf den Schwachstellenbericht reagiert und das Problem behoben. Und wie erwähnt gibt es Apps, die keinen vollen Zugriff auf Ihr Autohersteller-Konto benötigen.
Wenn sie jedoch Wert auf Funktionen legen, die in der nativen App Ihres Fahrzeugs fehlen, sollten Sie bei der Auswahl vorsichtig sein: Wählen Sie nach Möglichkeit eine App von einem zuverlässigen Entwickler, der für den Fall der Fälle zumindest seine Kontaktdaten zur Verfügung stellt. Suchen Sie nach Berichten von Sicherheitsexperten und Feedback von technisch versierten Nutzern, um mögliche Risiken ausfindig zu machen.
Wenn Sie eine bereits installierte Drittanbieter-App nicht mehr verwenden möchten, sollten Sie beachten Sie, dass es möglicherweise nicht ausreicht, sie einfach von Ihrem Smartphone zu löschen …
- Überprüfen Sie, ob Sie auch Ihr Konto deaktivieren oder löschen müssen;
- Legen Sie vorsichtshalber ein neues Passwort für Ihr Hersteller-Konto fest;
- Widerrufen Sie nach Möglichkeit den Zugriff der App auf Ihr Konto über die Website des Herstellers oder mithilfe des technischen Support-Teams.