Autos mit Internet-Verbindung – praktisch und angreifbar

Eine neue Studie zeigt die Schwächen der neuen Autogeneration mit Online-Fähigkeiten. Wenn diese Technologie ausgenutzt wird, sind Autodiebstahl und andere Probleme die Folge

Connected cars

Wenn Sie schon einmal von futuristischen Konzepten wie „Smart Home“ und dem „Internet der Dinge“ gehört haben, könnte ich Sie vielleicht dennoch überraschen, wenn ich sage, dass die bisher umfangreichste Implementierung solcher Smart-Umgebungen moderne Autos sind. Ein typisches Auto enthält Dutzende von Computern, die die Bremsen, Lichter, Klimaanlage und alles andere kontrollieren.

Natürlich folgen auch Autohersteller dem aktuellen Trend und ermöglichen die Nutzung verschiedener Online-Dienste in ihren neuen Autos und statten sie mit einer Online-Verbindung aus. So können Sie die Klimaanlage des Autos aus der Ferne mit dem Smartphone einschalten, direkt vom Armaturenbrett aus Yelp oder Google Maps öffnen, mit den eingebauten Lautsprechern Online-Radio hören oder ein automatisches Notfallsystem aktivieren, das Hilfe rufen und die GPS-Koordination eines Unfalls an den Notarzt weiterleiten kann.

Die Anfälligkeit solcher Dienste ist bereits recht hoch, wie eine aktuelle Studie der spanischen Filiale des Interactive Advertising Bureau (IAB) zeigt. Die Analyse der Online-Funktionen aktueller Automodelle von 15 führenden Herstellern – unter anderem Audi, BMW, Ford, Lexus, Opel, Renault und Volvo – zeigt, dass jeder Hersteller eine eigene Online-Lösung nutzt. Die einen Hersteller legen Wert auf „In-Car“-Lösungen, während anderen vor allem die Smartphone-Integration wichtig ist. BMW führt dabei mit 20 Smartphone-Apps und 14 In-Car-Apps, die alle möglichen Dienste bieten – von Spotify bis zur Auto-Diagnose. Kein Wunder, dass die IAB nun Kaspersky Lab gebeten hat, die Sicherheitsrisiken solcher „Online“-Autos zu bewerten, basierend auf der Online-Implementation von BMW.

Natürlich gehört zu den besorgniserregendsten Szenarien das Hacken des Lenkrads und der Bremsen, und das wurde bereits bei anderen Automarken vorgeführt. Doch für die aktuelle Forschungsarbeit fokussierten sich die Kaspersky-Experten auf den Missbrauch der „normalen“ Funktionen eines mit dem Internet verbundenen Autos. Eine der faszinierenden ist sicherlich das Aufsperren des Autos ohne Schlüssel, nur mit einem Smartphone mit der entsprechenden App namens My BMW Remote. Man muss BMW zugute halten, dass die Entwickler durch die Implementierung einer Zwei-Faktoren-Authentifizierung gute Arbeit geleistet haben, denn diese benötigt einen installierten „virtuellen Schlüssel“ auf dem Smartphone.

Allerdings kann ein Experte, der schon einmal mit einem Bank-Trojaner zu tun hatte, ganz einfach einige Tricks beschreiben, die Kriminelle verwenden, um solche Schutzmaßnahmen zu umgehen. Eine Kombination aus Phishing, Keyloggern, Man-in-the-Middle-Attacken und Social Engineering ermöglicht es, die meisten hochentwickelten Schutzmechanismen zu überrumpeln. Bei einem praktischen Test konnte ein Forscher die Zugangsdaten des „Opfers“ abhören und die Schlüssel-App erfolgreich auf seinem eigenen Smartphone installieren, so dass er das Auto ohne die Hilfe des legitimen Besitzers ausperren konnte.

„Besitzer von Autos mit Internet-Verbindung stehen vor Risiken wie dem Diebstahl von Passwörtern und Geolocation-Daten sowie der unerlaubten Fernsteuerung und sogar dem Aufsperren der Türen. Typische Computerbedrohungen könnten auch für die Autoindustrie relevant werden und die Besitzer der nächsten Generation von Autos sollten diese Risiken kennen“, so Vicente Diaz, Principal Security Researcher bei Kaspersky Lab.

Tipps