{"id":14618,"date":"2017-09-20T17:21:01","date_gmt":"2017-09-20T15:21:01","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=14618"},"modified":"2017-09-27T14:51:04","modified_gmt":"2017-09-27T12:51:04","slug":"connected-car-apps-revisited","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/connected-car-apps-revisited\/14618\/","title":{"rendered":"Sind mobile Apps f\u00fcr vernetzte Autos tats\u00e4chlich sicher?"},"content":{"rendered":"

Die Idee Ihr Auto mit einer App fernzusteuern klingt sehr verf\u00fchrerisch. Stellen Sie sich vor, es ist Winter und drau\u00dfen ist es eiskalt. Noch w\u00e4hrend Sie wohlig warm unter einer Decke liegen, k\u00f6nnen Sie Ihr Auto starten und die Heizung einschalten. Wenn Sie das Haus verlassen, wartet also bereits ein kuschelig warmes Auto auf Sie. Das funktioniert nat\u00fcrlich genauso an hei\u00dfen Sommertagen, an denen Sie einige Minuten vor der Abfahrt bereits die Klimaanlage in Schwung bringen k\u00f6nnen. Au\u00dferdem m\u00fcssen Sie sich nie wieder daran erinnern, wo Sie geparkt haben \u2013 \u00fcber die mobile App k\u00f6nnen Sie n\u00e4mlich immer auf die GPS-Koordinaten Ihres Autos zugreifen.<\/span>
\n\"\"<\/a><\/p>\n

Klingt doch sehr verlockend, oder? Deshalb unterst\u00fctzen zunehmend mehr Fahrzeugmodelle die Bedienung \u00fcber mobile Apps. Aber ist das \u00fcberhaupt sicher? Experten von Kaspersky Lab haben eine zweiteilige Studie durchgef\u00fchrt, um die Sicherheit dieser mobilen Apps genauer unter die Lupe zu nehmen.<\/span><\/p>\n

Die Sicherheit der Apps im Test<\/span><\/h2>\n

Die erste Phase der Studie fand Ende 2016 statt. Sp\u00e4ter, im Februar 2017, haben die Antivirusanalysten Mikhail Kuzin und Viktor Chebsyshev dann bei der RSA-Konferenz einen Bericht namens Mobile Apps und der Diebstahl eines vernetzten Autos <\/em><\/a>pr\u00e4sentiert. Die Experten haben Android-Apps analysiert und Nutzer darum gebeten, die Autos fernzusteuern. T\u00fcren wurden ge\u00f6ffnet, das Fahrzeug gestartet, Anzeigen auf dem Armaturenbrett gelesen, usw.<\/span><\/p>\n

Unsere Experten haben neun mobile Apps der gr\u00f6\u00dften Automobilhersteller analysiert und auf Ihre Sicherheit getestet. Ziel war es, den Schutz der Apps vor typischen Angriffen b\u00f6sartiger Android-Apps zu bewerten. Hierbei handelt es sich vor allem darum die Root-Rechte zu erhalten, das Interface der App mit einem falschen Fenster zu \u00fcberlappen, und b\u00f6sartigen Code in die legitime, vernetzte Auto-App einzuschleusen.<\/p>\n

Zun\u00e4chst sollten wir allerdings wissen was genau diese Attacken so gef\u00e4hrlich macht.<\/span><\/p>\n

<\/p>\n

Potenzielle Angriffsvektoren<\/span><\/h3>\n

Rooting<\/b><\/p>\n

Standardm\u00e4\u00dfig speichern alle Android-Apps Daten, darunter auch wichtige Daten wie Benutzernamen, Passw\u00f6rter und andere Informationen, in isolierten Bereichen des Speichers, auf die andere Apps nicht zugreifen k\u00f6nnen. Das Rooting unterbricht diesen Sicherheitsmechanismus: Durch den Root-Zugriff kann eine b\u00f6sartige App Zugang zu den von anderen Apps gespeicherten Daten bekommen und diese entwenden.<\/span><\/p>\n

Viele Arten von Malware nutzen das aus. \u00dcber 30 % der gel\u00e4ufigsten Android-Malware kann Schwachstellen des Betriebssystems dazu nutzen Ger\u00e4te zu rooten. Viele Nutzer machen den Viren die Arbeit noch leichter und rooten Ihr Android-Ger\u00e4t einfach selbst.<\/a>\u00a0Sie sollten Ihr Ger\u00e4t nur dann selbst rooten, wenn Sie ganz genau wissen wie Sie Ihr Tablet oder Smartphone richtig sch\u00fctzen k\u00f6nnen.<\/span><\/p>\n

So wird das Interface der App \u00fcberlagert<\/strong><\/p>\n

Dieser hinterh\u00e4ltige Trick funktioniert kinderleicht. Die Malware verfolgt, wann der User eine App \u00f6ffnet. \u00c4hnelt diese App der Malware, \u00fcberlagert diese das Fenster der App mit einem eigenen, \u00e4hnlich aussehendem Fenster. Dieser Ablauf erfolgt augenblicklich, weshalb der User gar keine Chance dazu hat, etwas Auff\u00e4lliges zu bemerken.<\/span><\/p>\n

Wenn der Nutzer die Informationen im falschen Fenster eingibt, in dem Glauben mit der vertrauten App zu interagieren, stiehlt die Malware Benutzernamen, Passw\u00f6rter, Kreditkartennummern und andere Informationen, die f\u00fcr den Hacker interessant sein k\u00f6nnten.<\/span><\/p>\n

Dieser Trick geh\u00f6rt zum Standardrepertoire mobiler Banking-Trojaner. Obwohl \u201eBanking\u201c allein schon lange nicht mehr zutreffend ist: Die Entwickler dieser Trojaner sammeln bei Weitem nicht mehr nur Daten mobiler Banking-Apps, sondern entwickeln gef\u00e4lschte Fenster f\u00fcr eine Vielzahl von Apps, bei denen User ihre Kreditkartennummern oder andere interessante Informationen preisgeben m\u00fcssen.<\/span><\/p>\n

#ConnectedCars: Sind mobile Apps f\u00fcr vernetzte Autos tats\u00e4chlich sicher?<\/p>Tweet<\/a><\/blockquote>\n

Die Liste imitierbarer Apps ist ziemlich lang. Dazu geh\u00f6ren zum Beispiel: viele Zahlungssysteme und bekannte Messaging-Apps<\/a>, Apps zum Kauf von Flugtickets und zur Reservierung von Hotelzimmern, Google Play Store und Android Pay, Apps zur Zahlung von Strafen und viele mehr. K\u00fcrzlich haben die Erfinder eines solchen Trojaners angefangen, die Zahlungsinformationen von Taxi-Apps<\/a> zu entwenden.<\/span><\/p>\n

So wird die Malware eingeschleust<\/strong><\/p>\n

Hacker k\u00f6nnen eine legitime App ausw\u00e4hlen, herausfinden wie diese funktioniert, einen b\u00f6sartigen Code einschleusen, w\u00e4hrend die Funktionen der Originalapp erhalten bleiben und sie dann \u00fcber Google Play oder andere Kan\u00e4le verbreiten (besonders \u00fcber b\u00f6sartige Anzeigen auf Google AdSense).<\/span><\/p>\n

Um Kriminelle daran zu hindern diesen Trick zu nutzen, m\u00fcssen App-Entwickler sicherstellen, dass sowohl das Reverse-Engineering als auch das Einschleusen von b\u00f6sartigem Code in den Apps so zeitaufwendig \u2013 und somit auch so wenig lukrativ -wie m\u00f6glich ist. Entwickler benutzen bekannte Techniken, um ihre Apps zu st\u00e4rken; in einer perfekten Welt w\u00fcrden alle Entwickler bei der Entwicklung von Apps, die mit vertraulichen Nutzerdaten arbeiten, diese Techniken nutzen. In der realen Welt ist das aber leider nicht immer der Fall.<\/span><\/p>\n

Gr\u00f6\u00dfte Bedrohung<\/h3>\n

Mit den zuvor genannten Methoden k\u00f6nnen b\u00f6sartige Apps Benutzernamen, Passw\u00f6rter, PIN-Codes oder auch die Fahrgestellnummer des Fahrzeugs entwenden.<\/span><\/p>\n

Sobald die Kriminellen diese Daten erhalten, m\u00fcssen sie nur noch die entsprechende App auf ihrem eigenen Smartphone installieren. An dieser Stelle sind sie dann dazu f\u00e4hig, T\u00fcren zu \u00f6ffnen (alle Apps verf\u00fcgen \u00fcber dieses Feature), das Fahrzeug zu starten (nicht alle Apps erlauben das, trotzdem ist auch dieses Feature relativ g\u00e4ngig) zu stehlen oder den Besitzer zu orten.<\/span><\/p>\n

Die Bedrohung gibt es l\u00e4ngst nicht mehr nur noch in der Theorie. In Foren des Darknets werden zeitweise Anzeigen geschaltet, die f\u00fcr den Kauf und Verkauf von echten Nutzerkontoinformationen f\u00fcr vernetzte Auto-Apps werben. Die Preise f\u00fcr diese Daten sind \u00fcberraschend hoch \u2013 viel h\u00f6her als die Summe, die Kriminelle normalerweise f\u00fcr gestohlene Kreditkarteninformationen zahlen. <\/span><\/p>\n

\n

\"\"<\/a><\/p>\n

Anzeigen in Darknetz-Foren, um Kontoinformationen f\u00fcr Auto-Apps zu kaufen oder verkaufen.<\/p>\n<\/div>\n

Cyberkriminelle reagieren schnell auf neue M\u00f6glichkeiten Geld zu verdienen. Den Gebrauch von Malware zu verbreiten, die vernetzte Autos angreift, ist nur noch eine Frage der Zeit.<\/span><\/p>\n

Teil 1: 9 vernetzte Auto-Apps und keine davon ist vor Malware sicher<\/span><\/h3>\n

Als der erste Teil der Studie Anfang 2017 ver\u00f6ffentlicht wurde, haben Experten neun Android-Apps vernetzter Autos getestet, die von den gr\u00f6\u00dften Fahrzeugherstellern entwickelt wurden, und haben herausgefunden, dass keine dieser Apps gegen die zuvor aufgez\u00e4hlten Bedrohungen gesch\u00fctzt waren.<\/span><\/p>\n

Noch einmal zur Wiederholung: Alle neun Apps, die wir untersucht haben, waren anf\u00e4llig f\u00fcr die g\u00e4ngigsten Angriffe.<\/span><\/p>\n

Experten von Kaspersky Lab haben die zust\u00e4ndigen Autohersteller selbstverst\u00e4ndlich kontaktiert und Ihnen von den Problemen berichtet, bevor die Ergebnisse ver\u00f6ffentlicht wurden.<\/span><\/p>\n

Teil 2: 13 Apps vernetzter Autos, 1 ist (mehr oder weniger) vor Malware gesch\u00fctzt<\/span><\/strong><\/h3>\n

Es ist immer interessant zu sehen, wie Ereignisse sich entwickeln. Vor ein paar Tagen hat Mikhail Kuzin also den zweiten Teil des Berichtes auf der IAA 2017 (die Internationale Automobil-Ausstellung) in Frankfurt pr\u00e4sentiert.<\/span><\/p>\n

Der Experte hat der Liste weitere 4 Apps hinzugef\u00fcgt und sie alle untersucht; 13 Programme insgesamt. Nur eine der neuen Apps war sicher \u2013 und das nur vor einer der drei Angriffsarten (bei einem gerooteten Ger\u00e4t wird die App nicht ausgef\u00fchrt). <\/span><\/p>\n

Was noch schlimmer ist: Die neue Untersuchung hat gezeigt, dass alle neun der bereits getesteten Apps noch immer anf\u00e4llig f\u00fcr Angriffe waren. In den Monaten, in denen die Hersteller von den Problemen wussten, haben sie nichts unternommen, die Schwachstellen zu beheben. Im Gegenteil; einige der Apps wurden erst gar nicht aktualisiert.<\/span><\/p>\n

Leider haben Autohersteller nicht die n\u00f6tige Erfahrung im Bereich der Cybersicherheit, um diese ordnungsgem\u00e4\u00df zu implementieren.<\/span><\/p>\n

Sie stehen damit aber nicht alleine da. Es scheint sich hierbei um ein typisches Problem von Herstellern anderer smarter und vernetzter Elektronik zu handeln. Da es hierbei allerdings um Autos geht, scheint das Problem noch ernster und dringlicher zu sein; Hackerangriffe k\u00f6nnten den Verlust einer Menge Geld verursachen oder sogar das Leben einer Person gef\u00e4hrden.<\/span><\/p>\n

Zum Gl\u00fcck m\u00fcssen Sie keine Cybersicherheitsexperten im Haus haben.\u00a0Wir sind stolz darauf mit Autoherstellern zusammenzuarbeiten<\/a> und dabei zu helfen Probleme mit Apps oder anderen digitalen Dingen zu l\u00f6sen.<\/span><\/p>\n

Wenn Sie sich darum sorgen, dass Kriminelle auf Ihr Smartphone zugreifen k\u00f6nnten, sollten Sie einen\u00a0verl\u00e4sslichen Schutz<\/a> auf dem Smartphone installieren, um Malware zu erkennen und zu blockieren bevor sie wichtige Informationen abfangen kann.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Vor einigen Monaten haben unsere Experten Schwachstellen in Andorid-Apps gefunden, die es Nutzern erlauben ihre Autos fernzusteuern. Was hat sich seitdem ver\u00e4ndert?<\/p>\n","protected":false},"author":421,"featured_media":14619,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[1251],"class_list":{"0":"post-14618","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-vernetzte-autos"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/connected-car-apps-revisited\/14618\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/connected-car-apps-revisited\/11223\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/connected-car-apps-revisited\/9285\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/connected-car-apps-revisited\/12782\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/connected-car-apps-revisited\/11769\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/connected-car-apps-revisited\/11297\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/connected-car-apps-revisited\/14370\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/connected-car-apps-revisited\/14247\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/connected-car-apps-revisited\/18747\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/connected-car-apps-revisited\/18548\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/connected-car-apps-revisited\/9603\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/connected-car-apps-revisited\/9719\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/connected-car-apps-revisited\/7381\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/connected-car-apps-revisited\/17925\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/connected-car-apps-revisited\/17867\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/connected-car-apps-revisited\/17856\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/vernetzte-autos\/","name":"vernetzte Autos"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/14618","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=14618"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/14618\/revisions"}],"predecessor-version":[{"id":14630,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/14618\/revisions\/14630"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/14619"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=14618"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=14618"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=14618"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}