Informationssicherheitsexperten von Pen Test Partners haben es geschafft, ein Auto über seine Alarmanlage zu hijacken. Die Sicherheitssysteme, Pandora und Viper SmartStart, die die Forscher erfolgreich hacken konnten, haben weltweit zahlreiche Nutzer: Die Forscher gehen davon aus, dass rund 3 Millionen Autos eines der beiden Systeme installiert haben.
Praktisch, aber auch sicher?
Theoretisch handelt es sich bei smarten Antidiebstahlsystemen um viel mehr als reine Alarmanlagen, da sie Autobesitzern auch nach einem eventuellen Diebstahl tatkräftig unterstützen. Sie können beispielsweise den aktuellen Standort des Autos ermitteln, den Motor abstellen oder die Türen verriegeln, bis die Polizei am Ort des Geschehens eintrifft. All diese Funktionen können ganz einfach über eine einzige App auf Ihrem Smartphone gesteuert werden. Praktisch? Ohne Frage! Aber auch sicher? Den Herstellern zufolge sind derartige Systeme mit dem Ziel entwickelt worden, die Sicherheit von Autos um ein Vielfaches zu erhöhen.
Mittlerweile ist es allerdings nicht nur Ihr Auto, das gestohlen werden kann.
Hijacken Cyberkriminelle Ihren Account und loggen sich in Ihrem Namen in die entsprechende App ein, erhalten sie Zugriff auf zahlreiche Daten und Funktionen des smarten Alarmsystems. Darüber hinaus können die Kriminellen Sie mit einem simplen Passwortwechsel aus dem System „aussperren“. Die Angreifer sind dann in der Lage:
- Alle Bewegungen des Fahrzeugs zu verfolgen;
- Das Alarmsystem zu aktivieren und deaktivieren;
- Die Autotüren zu ver- und entriegeln;
- Die Wegfahrsperre – ein Antidiebstahltool, welches das Starten des Motors verhindert – zu aktivieren und deaktivieren;
- Den Motor abzustellen – in manchen Fällen sogar während der Fahrt.
Bei Pandora-Alarmen können Cyberkriminelle sogar Gespräche, die im Auto selbst geführt werden, über das Mikrofon des Antidiebstahlsystems abhören, das eigentlich ausschließlich für Notrufe gedacht ist. Da die Kriminellen die vollständige Kontrolle über die Anlage übernommen haben, sind Ihnen in einer solchen Situation in jeglicher Hinsicht die Hände gebunden.
Smartes Hijacking in Sekunden
Das Forschungsteam hat herausgefunden, dass das Hijacken eines mit einem smarten Alarmsystem assoziierten Nutzerkontos nicht nur möglich, sondern zudem auch noch relativ simpel ist. Um ein Viper- oder Pandora-Konto zu entwenden, muss nicht einmal das System selbst erworben werben (der Preis liegt bei rund 5000 US-Dollar). Die Forscher mussten bei ihrer Untersuchung lediglich einen Account auf der Website der App erstellen, um Zugriff auf ein anderes Konto zu erlangen.
Die Probleme beider Systeme sind ähnlich und sind auf die Interaktion der App mit dem Server zurückzuführen. Der Angriffsmechanismus hingegen ist etwas anders. Im Falle von Viper kann der Eindringling die Nutzerdaten über eine Anfrage an den Server, auf dem die Daten gespeichert werden, ändern.
Das System von Pandora ist etwas anspruchsvoller, da es nicht jedem erlaubt, das Passwort zurückzusetzen; trotzdem können Cyberkriminelle die E-Mail-Adresse, die mit dem Profil verbunden ist, ohne Erlaubnis ändern und sie dann nutzen, um eine (aus Systemsicht) legitime Anfrage zum Zurücksetzen des Passworts zu stellen.
Das können Sie tun
Ruhig bleiben und nicht in Panik geraten. Die Forscher haben die Hersteller selbstverständlich über die Ergebnisse ihrer Studie unterrichtet. Glücklicherweise haben diese sehr schnell reagiert und die Schwachstellen binnen weniger Tage geschlossen.
Bevor die Studie durchgeführt wurde, waren Fahrzeuge mit Smart-Alarmen bereits nicht so sicher, wie Fahrzeuge ohne Alarmsystem. Und nicht alle Entwickler von IoT-Geräten nehmen sich die Empfehlungen von Cybersicherheitsexperten zu Herzen. Wir geben Ihnen also den Rat, bei smarten Lösungen besonders aufzupassen, vor allem dann, wenn Sicherheitssysteme mit im Spiel sind.