{"id":9792,"date":"2017-02-16T11:10:14","date_gmt":"2017-02-16T11:10:14","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=9792"},"modified":"2017-09-27T15:29:45","modified_gmt":"2017-09-27T13:29:45","slug":"rsa-connected-cars","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/rsa-connected-cars\/9792\/","title":{"rendered":"Android f\u00fcr Autos: Eine sichere Verbindung?"},"content":{"rendered":"

In dem Film Ey Mann, wo is\u2018 mein Auto?<\/em> (2000) verfolgen die Zuschauer in einer humorvollen Geschichte, wie zwei Typen, die ein bisschen zu hart gefeiert haben, sich daran zu erinnern versuchen, wo sie ihr Auto geparkt haben. Das ist uns allen schon einmal passiert; nun gut, nicht genauso wie im Film. Aber heben Sie Ihre Hand, wenn Sie schon einmal vergessen haben, wo sie Ihr Auto bei einem Konzert, Einkaufszentrum oder Supermarkt geparkt haben.<\/p>\n

\"Android<\/a><\/p>\n

17 Jahre sp\u00e4ter und es gibt Apps f\u00fcr alles, sogar f\u00fcr Ihr Auto. Es ist wahrscheinlich, dass, wenn eine App einen Aspekt Ihres Lebens vereinfachen k\u00f6nnte, jemand sie entwickelt und viele Leute sie nutzen werden.<\/p>\n

In den vergangenen Jahren hat sich das Konzept der vernetzten Autos immer weiterentwickelt und ist zur Realit\u00e4t geworden. Auf der diesj\u00e4hrigen RSA-Konferenz in San Francisco haben unsere Anti-Malware-Forscher Victor Chebyshev und Mikhail Kuzin ihre Untersuchungen \u00fcber sieben beliebte Apps f\u00fcr Fahrzeuge pr\u00e4sentiert.<\/p>\n

Die Apps machen das Leben der Benutzer scheinbar einfacher, indem sie Android-Ger\u00e4te mit ihren Pkws verbinden, aber wir m\u00fcssen uns fragen: Tauschen wir Sicherheit gegen Bequemlichkeit ein? Und wie bei vielen vernetzten<\/a> Ger\u00e4ten ist die Antwort, dass Sicherheit f\u00fcr Entwickler und Hersteller eine gr\u00f6\u00dfere Priorit\u00e4t bekommen muss.<\/p>\n

\"The<\/a><\/p>\n

Die Hauptfunktionen dieser Apps sind das \u00d6ffnen der T\u00fcren und in vielen F\u00e4llen das Starten des Autos. Ungl\u00fccklicherweise k\u00f6nnen Fehler in den Apps von Angreifern ausgenutzt werden:<\/p>\n

Kein Schutz gegen Reverse Engineering der App.<\/strong> Dadurch k\u00f6nnen \u00dcbelt\u00e4ter zuschlagen und Sicherheitsl\u00fccken entdecken, durch die sie Zugriff auf serverseitige Infrastruktur oder zum Multimediasystem des Autos erhalten.<\/p>\n

Keine Integrit\u00e4tspr\u00fcfung des Codes.<\/strong> Dies erlaubt es den Kriminellen, ihren eigenen Code in die App zu schleusen, wodurch sch\u00e4dliche Funktionen hinzugef\u00fcgt werden und das urspr\u00fcngliche Programm durch eine Imitation auf dem Ger\u00e4t des Nutzers ersetzt wird.<\/p>\n

Keine Nachweismethoden f\u00fcrs Rooten.<\/strong> Root-Rechte statten Trojaner mit nahezu unendlichen F\u00e4higkeiten aus und hinterlassen eine wehrlose App.<\/p>\n

Unzureichender Schutz vor Overlay-Technik.<\/strong> Dies erlaubt es den b\u00f6swilligen Apps Phishing-Fenster \u00fcber den Fenstern der Original-App anzuzeigen, wodurch Nutzer dazu gebracht werden ihre Anmeldedaten in Fenster einzugeben, die die Informationen an Kriminelle weiterleiten.<\/p>\n

Speicherung von Benutzernamen und Passw\u00f6rtern in Klartext.<\/strong> Mit Hilfe dieses Schwachpunkts kann ein Krimineller relativ einfach Nutzerdaten stehlen.<\/p>\n

Nach einer erfolgreichen Ausbeutung kann ein Angreifer Kontrolle \u00fcber das Auto gewinnen, T\u00fcren aufschlie\u00dfen, den Sicherheitsalarm ausschalten und theoretisch sogar das Fahrzeug stehlen.<\/p>\n

Die Forscher teilten den Entwicklern ihre Funde mit (sie machten die Namen der Apps nicht \u00f6ffentlich) und berichteten ihnen auch, dass sie keine wilde Ausbeutung beobachtet hatten. Einen vollst\u00e4ndigen, detaillierten Bericht k\u00f6nnen Sie bei Securelist finden<\/a>, wo die einzelnen Apps bewertet werden.<\/p>\n

Es ist einfach den Kopf in den Sand zu stecken und zu glauben, dass man kein Opfer von Hacking wird oder dass das alles Science-Fiction ist, aber die Wahrheit ist, dass das Auto seit seiner Erfindung Ziel von Kriminellen ist. Und wenn es jetzt noch einen Hack gibt, der alles vereinfacht\u2026 Man stelle sich nur die M\u00f6glichkeiten vor.<\/p>\n

Eine andere Sache, die man bedenken muss, ist, dass wir bereits gesehen haben, wie Sicherheitsl\u00fccken es White-Hat-Hackern erm\u00f6glichen, den Sprung von einer \u201egutartigen Sicherheitsl\u00fccke\u201c zur Kontrolle \u00fcber das Auto zu machen. Zwei der gr\u00f6\u00dferen Meldungen \u00fcber Autos der letzten zwei<\/a> Jahre handeln von Charlie Miller<\/a> und Chris Valasek<\/a> und wie sie mit Hilfe von Schwachstellen die Kontrolle \u00fcber einen Jeep gewannen.<\/p>\n

\n

#BlackHat<\/a> 2015: The full story of how that Jeep was hacked https:\/\/t.co\/y0d6k8UE4n<\/a> #bhUSA<\/a> pic.twitter.com\/SWulPz4Et7<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) August 7, 2015<\/a><\/p><\/blockquote>\n