Sind mobile Apps für vernetzte Autos tatsächlich sicher?

Bedrohungen

Die Idee Ihr Auto mit einer App fernzusteuern klingt sehr verführerisch. Stellen Sie sich vor, es ist Winter und draußen ist es eiskalt. Noch während Sie wohlig warm unter einer Decke liegen, können Sie Ihr Auto starten und die Heizung einschalten. Wenn Sie das Haus verlassen, wartet also bereits ein kuschelig warmes Auto auf Sie. Das funktioniert natürlich genauso an heißen Sommertagen, an denen Sie einige Minuten vor der Abfahrt bereits die Klimaanlage in Schwung bringen können. Außerdem müssen Sie sich nie wieder daran erinnern, wo Sie geparkt haben – über die mobile App können Sie nämlich immer auf die GPS-Koordinaten Ihres Autos zugreifen.

Klingt doch sehr verlockend, oder? Deshalb unterstützen zunehmend mehr Fahrzeugmodelle die Bedienung über mobile Apps. Aber ist das überhaupt sicher? Experten von Kaspersky Lab haben eine zweiteilige Studie durchgeführt, um die Sicherheit dieser mobilen Apps genauer unter die Lupe zu nehmen.

Die Sicherheit der Apps im Test

Die erste Phase der Studie fand Ende 2016 statt. Später, im Februar 2017, haben die Antivirusanalysten Mikhail Kuzin und Viktor Chebsyshev dann bei der RSA-Konferenz einen Bericht namens Mobile Apps und der Diebstahl eines vernetzten Autos präsentiert. Die Experten haben Android-Apps analysiert und Nutzer darum gebeten, die Autos fernzusteuern. Türen wurden geöffnet, das Fahrzeug gestartet, Anzeigen auf dem Armaturenbrett gelesen, usw.

Unsere Experten haben neun mobile Apps der größten Automobilhersteller analysiert und auf Ihre Sicherheit getestet. Ziel war es, den Schutz der Apps vor typischen Angriffen bösartiger Android-Apps zu bewerten. Hierbei handelt es sich vor allem darum die Root-Rechte zu erhalten, das Interface der App mit einem falschen Fenster zu überlappen, und bösartigen Code in die legitime, vernetzte Auto-App einzuschleusen.

Zunächst sollten wir allerdings wissen was genau diese Attacken so gefährlich macht.

Potenzielle Angriffsvektoren

Rooting

Standardmäßig speichern alle Android-Apps Daten, darunter auch wichtige Daten wie Benutzernamen, Passwörter und andere Informationen, in isolierten Bereichen des Speichers, auf die andere Apps nicht zugreifen können. Das Rooting unterbricht diesen Sicherheitsmechanismus: Durch den Root-Zugriff kann eine bösartige App Zugang zu den von anderen Apps gespeicherten Daten bekommen und diese entwenden.

Viele Arten von Malware nutzen das aus. Über 30 % der geläufigsten Android-Malware kann Schwachstellen des Betriebssystems dazu nutzen Geräte zu rooten. Viele Nutzer machen den Viren die Arbeit noch leichter und rooten Ihr Android-Gerät einfach selbst. Sie sollten Ihr Gerät nur dann selbst rooten, wenn Sie ganz genau wissen wie Sie Ihr Tablet oder Smartphone richtig schützen können.

So wird das Interface der App überlagert

Dieser hinterhältige Trick funktioniert kinderleicht. Die Malware verfolgt, wann der User eine App öffnet. Ähnelt diese App der Malware, überlagert diese das Fenster der App mit einem eigenen, ähnlich aussehendem Fenster. Dieser Ablauf erfolgt augenblicklich, weshalb der User gar keine Chance dazu hat, etwas Auffälliges zu bemerken.

Wenn der Nutzer die Informationen im falschen Fenster eingibt, in dem Glauben mit der vertrauten App zu interagieren, stiehlt die Malware Benutzernamen, Passwörter, Kreditkartennummern und andere Informationen, die für den Hacker interessant sein könnten.

Dieser Trick gehört zum Standardrepertoire mobiler Banking-Trojaner. Obwohl „Banking“ allein schon lange nicht mehr zutreffend ist: Die Entwickler dieser Trojaner sammeln bei Weitem nicht mehr nur Daten mobiler Banking-Apps, sondern entwickeln gefälschte Fenster für eine Vielzahl von Apps, bei denen User ihre Kreditkartennummern oder andere interessante Informationen preisgeben müssen.

Die Liste imitierbarer Apps ist ziemlich lang. Dazu gehören zum Beispiel: viele Zahlungssysteme und bekannte Messaging-Apps, Apps zum Kauf von Flugtickets und zur Reservierung von Hotelzimmern, Google Play Store und Android Pay, Apps zur Zahlung von Strafen und viele mehr. Kürzlich haben die Erfinder eines solchen Trojaners angefangen, die Zahlungsinformationen von Taxi-Apps zu entwenden.

So wird die Malware eingeschleust

Hacker können eine legitime App auswählen, herausfinden wie diese funktioniert, einen bösartigen Code einschleusen, während die Funktionen der Originalapp erhalten bleiben und sie dann über Google Play oder andere Kanäle verbreiten (besonders über bösartige Anzeigen auf Google AdSense).

Um Kriminelle daran zu hindern diesen Trick zu nutzen, müssen App-Entwickler sicherstellen, dass sowohl das Reverse-Engineering als auch das Einschleusen von bösartigem Code in den Apps so zeitaufwendig – und somit auch so wenig lukrativ -wie möglich ist. Entwickler benutzen bekannte Techniken, um ihre Apps zu stärken; in einer perfekten Welt würden alle Entwickler bei der Entwicklung von Apps, die mit vertraulichen Nutzerdaten arbeiten, diese Techniken nutzen. In der realen Welt ist das aber leider nicht immer der Fall.

Größte Bedrohung

Mit den zuvor genannten Methoden können bösartige Apps Benutzernamen, Passwörter, PIN-Codes oder auch die Fahrgestellnummer des Fahrzeugs entwenden.

Sobald die Kriminellen diese Daten erhalten, müssen sie nur noch die entsprechende App auf ihrem eigenen Smartphone installieren. An dieser Stelle sind sie dann dazu fähig, Türen zu öffnen (alle Apps verfügen über dieses Feature), das Fahrzeug zu starten (nicht alle Apps erlauben das, trotzdem ist auch dieses Feature relativ gängig) zu stehlen oder den Besitzer zu orten.

Die Bedrohung gibt es längst nicht mehr nur noch in der Theorie. In Foren des Darknets werden zeitweise Anzeigen geschaltet, die für den Kauf und Verkauf von echten Nutzerkontoinformationen für vernetzte Auto-Apps werben. Die Preise für diese Daten sind überraschend hoch – viel höher als die Summe, die Kriminelle normalerweise für gestohlene Kreditkarteninformationen zahlen.

Anzeigen in Darknetz-Foren, um Kontoinformationen für Auto-Apps zu kaufen oder verkaufen.

Cyberkriminelle reagieren schnell auf neue Möglichkeiten Geld zu verdienen. Den Gebrauch von Malware zu verbreiten, die vernetzte Autos angreift, ist nur noch eine Frage der Zeit.

Teil 1: 9 vernetzte Auto-Apps und keine davon ist vor Malware sicher

Als der erste Teil der Studie Anfang 2017 veröffentlicht wurde, haben Experten neun Android-Apps vernetzter Autos getestet, die von den größten Fahrzeugherstellern entwickelt wurden, und haben herausgefunden, dass keine dieser Apps gegen die zuvor aufgezählten Bedrohungen geschützt waren.

Noch einmal zur Wiederholung: Alle neun Apps, die wir untersucht haben, waren anfällig für die gängigsten Angriffe.

Experten von Kaspersky Lab haben die zuständigen Autohersteller selbstverständlich kontaktiert und Ihnen von den Problemen berichtet, bevor die Ergebnisse veröffentlicht wurden.

Teil 2: 13 Apps vernetzter Autos, 1 ist (mehr oder weniger) vor Malware geschützt

Es ist immer interessant zu sehen, wie Ereignisse sich entwickeln. Vor ein paar Tagen hat Mikhail Kuzin also den zweiten Teil des Berichtes auf der IAA 2017 (die Internationale Automobil-Ausstellung) in Frankfurt präsentiert.

Der Experte hat der Liste weitere 4 Apps hinzugefügt und sie alle untersucht; 13 Programme insgesamt. Nur eine der neuen Apps war sicher – und das nur vor einer der drei Angriffsarten (bei einem gerooteten Gerät wird die App nicht ausgeführt).

Was noch schlimmer ist: Die neue Untersuchung hat gezeigt, dass alle neun der bereits getesteten Apps noch immer anfällig für Angriffe waren. In den Monaten, in denen die Hersteller von den Problemen wussten, haben sie nichts unternommen, die Schwachstellen zu beheben. Im Gegenteil; einige der Apps wurden erst gar nicht aktualisiert.

Leider haben Autohersteller nicht die nötige Erfahrung im Bereich der Cybersicherheit, um diese ordnungsgemäß zu implementieren.

Sie stehen damit aber nicht alleine da. Es scheint sich hierbei um ein typisches Problem von Herstellern anderer smarter und vernetzter Elektronik zu handeln. Da es hierbei allerdings um Autos geht, scheint das Problem noch ernster und dringlicher zu sein; Hackerangriffe könnten den Verlust einer Menge Geld verursachen oder sogar das Leben einer Person gefährden.

Zum Glück müssen Sie keine Cybersicherheitsexperten im Haus haben. Wir sind stolz darauf mit Autoherstellern zusammenzuarbeiten und dabei zu helfen Probleme mit Apps oder anderen digitalen Dingen zu lösen.

Wenn Sie sich darum sorgen, dass Kriminelle auf Ihr Smartphone zugreifen könnten, sollten Sie einen verlässlichen Schutz auf dem Smartphone installieren, um Malware zu erkennen und zu blockieren bevor sie wichtige Informationen abfangen kann.