{"id":28754,"date":"2022-05-30T14:17:06","date_gmt":"2022-05-30T12:17:06","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28754"},"modified":"2022-05-31T15:53:11","modified_gmt":"2022-05-31T13:53:11","slug":"automotive-apps-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/automotive-apps-security\/28754\/","title":{"rendered":"Auto-Apps: Wie sicher sind sie wirklich?"},"content":{"rendered":"

Im Grunde genommen ist jedes moderne Auto ein Computer auf vier R\u00e4dern. Viele der neuesten Modelle sind mittlerweile mit dem Internet verbunden, weshalb Autohersteller neben ihren Fahrzeugen nun auch eigene Apps zur Fernsteuerung entwickeln. Mit diesen Anwendungen kann der Standort des Autos ermittelt, die Heizung oder Klimaanlage im Voraus eingeschaltet, die T\u00fcren ver- und entriegelt werden und vieles mehr.<\/p>\n

Die Anforderungen von Nutzern sind jedoch sehr divers, und somit ist es unm\u00f6glich, alle W\u00fcnsche und Funktionen in einer einzigen App zu vereinen. So gibt es neben der Software der Autohersteller auch Drittanbieter-Apps f\u00fcr jeden Geschmack und Geldbeutel, die vor allem eines sind: bequem. Aber sind sie auch sicher? Unsere Forscher haben genau das untersucht<\/a>\u2026<\/p>\n

Wer f\u00e4hrt Ihr Auto?<\/h2>\n

Damit das Fahrzeug sicher sein kann, dass Sie der Nutzer der App sind, m\u00fcssen Sie zun\u00e4chst Ihren Benutzernamen und das zugeh\u00f6rige Passwort eingeben. Wenn Sie die herstellereigene App verwenden, werden Ihre Anmeldeinformationen nicht an Dritte weitergegeben, was ein gutes Zeichen ist. Dar\u00fcber hinaus gibt es einige Sicherheitsstandards f\u00fcr Autohersteller, die ihre Produkte erf\u00fcllen m\u00fcssen.<\/p>\n

F\u00e4llt Ihre Wahl auf eine Drittanbieter-App mit einzigartigen Funktionen, die es in der offiziellen App nicht gibt, muss die Anwendung Zugriff auf das Fahrzeug oder dessen Telemetriedaten erhalten. Einige Apps verwenden speziell vom Autohersteller f\u00fcr diesen Zweck entwickelte L\u00f6sungen, die keine Anmeldeinformationen erfordern und eingeschr\u00e4nkten Zugriff auf das Fahrzeug erhalten, sodass zwar die Funktionen genutzt werden k\u00f6nnen, aber potenziell gef\u00e4hrliche Features wie das Entriegeln der T\u00fcren blockiert werden. Diese Apps sind mehr oder weniger sicher, aber leider in der Unterzahl.<\/p>\n

Die meisten Auto-Apps erfordern deshalb den Benutzernamen und das Passwort f\u00fcr Ihr Hersteller-Konto; das hei\u00dft, sie erhalten vollen Zugriff auf Ihr Konto. Die Sicherheitsanforderungen der Autohersteller greifen wiederum nicht f\u00fcr diese Apps, und genau hier liegt das Problem.<\/p>\n

Vertrauen ist gut, Kontrolle ist besser?<\/h2>\n

Das Hauptaugenmerk der Untersuchung lag auf den mobilen Apps von Drittanbietern, die das vom Hersteller bereitgestellte Konto des Fahrzeughalters nutzen. Leider warnen mehr als die H\u00e4lfte der App-Entwickler nicht vor den Risiken einer Konto-\u00dcbergabe. Die Anwendungen, die den Benutzer warnen, versichern, dass sie die Anmeldeinformationen entweder gar nicht oder nur in verschl\u00fcsselter Form speichern. Einige von ihnen betonen sogar, dass der Benutzername und das Passwort lediglich ben\u00f6tigt werden, um einen Autorisierungstoken zu erhalten. Ein solcher Token erm\u00f6glicht es jedoch jedem, das Konto in Ihrem Namen zu nutzen; dar\u00fcber hinaus k\u00f6nnte der Token, ebenso wie Ihre Anmeldedaten, durch ein Datenleck an die \u00d6ffentlichkeit geraten. Ein weiterer Nachteil ist, dass es keine M\u00f6glichkeit gibt zu \u00fcberpr\u00fcfen, was tats\u00e4chlich mit Ihren Zugangsdaten passiert: Entweder Sie vertrauen den Entwicklern oder nutzen die App nicht.<\/p>\n

Hinzu kommt, dass die Entwickler von 14 % der von unseren Forschern untersuchten Apps bei Problemen nicht erreichbar waren: Entweder fehlten die Kontaktdaten auf ihren Webseiten ganz oder verwiesen auf bereits entfernte Social-Media-Konten.<\/p>\n

\u00c4hnlich verh\u00e4lt es sich mit Webdiensten: Der Nutzer gibt seine Zugangsdaten in fremde H\u00e4nde, ohne genau zu wissen, wie diese gespeichert und verarbeitet werden. Open-Source-L\u00f6sungen sind da transparenter: Technisch versierte Nutzer k\u00f6nnen immerhin einen genaueren Blick auf den Code werfen. F\u00fcr Nutzer ohne technischen Hintergrund ist das aber wom\u00f6glich keine zufriedenstellende L\u00f6sung.<\/p>\n

Ein weiteres Problem ist, dass es zudem Vermittlungsdienstleister gibt, die die Systeme der Autohersteller mit Apps von Drittanbietern verbinden. Dabei sollten Sie wissen, dass Ihre Daten in diesem Fall in die H\u00e4nde beider Parteien \u2013 Vermittlungsdienst und Auto-App-Entwickler \u2013 gelangen.<\/p>\n

Welche Risiken birgt der Zugriff von Drittanbieter-Apps auf Ihr Fahrzeug?<\/h2>\n

Wenn Ihre Anmeldeinformationen nicht sicher gespeichert werden, k\u00f6nnen Kriminelle viel einfacher darauf zugreifen. Wahrscheinlich werden sie es nicht schaffen Ihr Auto zu stehlen, aber immerhin k\u00f6nnen sie die verschiedenen Systemkomponenten fernsteuern: T\u00fcren und Fenster, Klimaanlage, Hupe, Scheinwerfer usw. Wenn dies w\u00e4hrend der Fahrt geschieht, kann das nicht nur unangenehm, sondern auch mehr als gef\u00e4hrlich werden.<\/p>\n

F\u00fcr Sie mag das auf den ersten Blick wie ein James-Bond-Szenario klingen: Aber gelangen solche Daten erst einmal an die \u00d6ffentlichkeit, k\u00f6nnen Sie von jedem x-beliebigen missbraucht werden. Auch, wenn sich diese Person vielleicht nur einen (schlechten) Scherz erlauben m\u00f6chte und nicht einmal wei\u00df, welche Folgen dieser scheinbare Spa\u00df haben k\u00f6nnte.<\/p>\n

Wird eine solche Anwendung gehackt, haben die Angreifer au\u00dferdem Zugriff auf alle gesammelten Daten, einschlie\u00dflich Geolokalisierungsdaten und k\u00f6nnen Autobesitzer somit auf Schritt und Tritt verfolgen.<\/p>\n

Hier ein aktuelles Beispiel. Vor geraumer Zeit entdeckte<\/a> der 19-j\u00e4hrige Sicherheitsexperte David Colombo versehentlich eine Schwachstelle in der TeslaMate-App zum Sammeln, Speichern und Visualisieren von Telemetriedaten von Tesla-Fahrzeugen. Er konnte herausfinden, wo die Autobesitzer wohnten, wohin und mit welcher Geschwindigkeit sie fuhren, wo die Fahrzeuge geparkt waren, wo sie aufgeladen wurden und welche Updates auf diesen Autos installiert waren.<\/p>\n

Obwohl die App selbst nur zum Sammeln von Daten und nicht zum Steuern des Autos konzipiert war, gelang Colombo genau das. Und auch nur, weil er mit einem Standardpasswort auf die Anmeldeinformationen des Benutzers zugreifen konnte; einige Informationen konnten sogar ohne jegliche Autorisierung abgerufen werden. Das Problem wurde relativ schnell von den App-Entwicklern behoben, nachdem Colombo sie dar\u00fcber informiert hatte. Obwohl es in dieser Geschichte ein Happy End gab, zeigt sie, dass Auto-Apps von Drittanbietern m\u00f6glicherweise nicht so zuverl\u00e4ssig sind, wie ihre Entwickler behaupten.<\/p>\n

Sind Drittanbieter-Apps deshalb tabu?<\/h2>\n

All das soll nicht hei\u00dfen, dass Drittanbieter-Apps unter keinen Umst\u00e4nden verwendet werden sollten. Die Sicherheit Ihrer Daten ist nicht allen Entwicklern gleichg\u00fcltig. Unseres Erachtens nach haben die Entwickler von TeslaMate ziemlich schnell auf den Schwachstellenbericht reagiert und das Problem behoben. Und wie erw\u00e4hnt gibt es Apps, die keinen vollen Zugriff auf Ihr Autohersteller-Konto ben\u00f6tigen.<\/p>\n

Wenn sie jedoch Wert auf Funktionen legen, die in der nativen App Ihres Fahrzeugs fehlen, sollten Sie bei der Auswahl vorsichtig sein: W\u00e4hlen Sie nach M\u00f6glichkeit eine App von einem zuverl\u00e4ssigen Entwickler, der f\u00fcr den Fall der F\u00e4lle zumindest seine Kontaktdaten zur Verf\u00fcgung stellt. Suchen Sie nach Berichten von Sicherheitsexperten und Feedback von technisch versierten Nutzern, um m\u00f6gliche Risiken ausfindig zu machen.<\/p>\n

Wenn Sie eine bereits installierte Drittanbieter-App nicht mehr verwenden m\u00f6chten, sollten Sie beachten Sie, dass es m\u00f6glicherweise nicht ausreicht, sie einfach von Ihrem Smartphone zu l\u00f6schen \u2026<\/p>\n

    \n
  • \u00dcberpr\u00fcfen Sie, ob Sie auch Ihr Konto deaktivieren oder l\u00f6schen m\u00fcssen;<\/li>\n
  • Legen Sie vorsichtshalber ein neues Passwort f\u00fcr Ihr Hersteller-Konto fest;<\/li>\n
  • Widerrufen Sie nach M\u00f6glichkeit den Zugriff der App auf Ihr Konto \u00fcber die Website des Herstellers oder mithilfe des technischen Support-Teams.<\/li>\n<\/ul>\n\n","protected":false},"excerpt":{"rendered":"

    Die meisten Drittanbieter-Apps f\u00fcr vernetzte Autos ben\u00f6tigen Zugriff auf Ihr Hersteller-Konto. Aber wie sicher sind solche Anwendungen?<\/p>\n","protected":false},"author":2477,"featured_media":28755,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,2287],"tags":[29,574,1025,2239,1027,1631,1910,3666],"class_list":{"0":"post-28754","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-technology","9":"tag-apps","10":"tag-auto","11":"tag-autos","12":"tag-idd","13":"tag-internet-der-dinge","14":"tag-internet-of-things","15":"tag-iot","16":"tag-vernetzte-fahrzeuge"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/automotive-apps-security\/28754\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/automotive-apps-security\/24209\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/automotive-apps-security\/19691\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/automotive-apps-security\/26535\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/automotive-apps-security\/24493\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/automotive-apps-security\/24844\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/automotive-apps-security\/27214\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/automotive-apps-security\/26744\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/automotive-apps-security\/33228\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/automotive-apps-security\/10726\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/automotive-apps-security\/44425\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/automotive-apps-security\/18950\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/automotive-apps-security\/19494\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/automotive-apps-security\/25071\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/auto\/","name":"Auto"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28754","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=28754"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28754\/revisions"}],"predecessor-version":[{"id":28756,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28754\/revisions\/28756"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/28755"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=28754"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=28754"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=28754"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}