Android für Autos: Eine sichere Verbindung?

Kaspersky Lab-Forscher legen Schwachstellen in Apps für vernetzte Autos offen.

In dem Film Ey Mann, wo is‘ mein Auto? (2000) verfolgen die Zuschauer in einer humorvollen Geschichte, wie zwei Typen, die ein bisschen zu hart gefeiert haben, sich daran zu erinnern versuchen, wo sie ihr Auto geparkt haben. Das ist uns allen schon einmal passiert; nun gut, nicht genauso wie im Film. Aber heben Sie Ihre Hand, wenn Sie schon einmal vergessen haben, wo sie Ihr Auto bei einem Konzert, Einkaufszentrum oder Supermarkt geparkt haben.

Android for cars: Secure connection?

17 Jahre später und es gibt Apps für alles, sogar für Ihr Auto. Es ist wahrscheinlich, dass, wenn eine App einen Aspekt Ihres Lebens vereinfachen könnte, jemand sie entwickelt und viele Leute sie nutzen werden.

In den vergangenen Jahren hat sich das Konzept der vernetzten Autos immer weiterentwickelt und ist zur Realität geworden. Auf der diesjährigen RSA-Konferenz in San Francisco haben unsere Anti-Malware-Forscher Victor Chebyshev und Mikhail Kuzin ihre Untersuchungen über sieben beliebte Apps für Fahrzeuge präsentiert.

Die Apps machen das Leben der Benutzer scheinbar einfacher, indem sie Android-Geräte mit ihren Pkws verbinden, aber wir müssen uns fragen: Tauschen wir Sicherheit gegen Bequemlichkeit ein? Und wie bei vielen vernetzten Geräten ist die Antwort, dass Sicherheit für Entwickler und Hersteller eine größere Priorität bekommen muss.

The apps seem to make users' lives easier by linking their Android devices to their automobiles, but we have ask: Are we trading security for convenience?

Die Hauptfunktionen dieser Apps sind das Öffnen der Türen und in vielen Fällen das Starten des Autos. Unglücklicherweise können Fehler in den Apps von Angreifern ausgenutzt werden:

Kein Schutz gegen Reverse Engineering der App. Dadurch können Übeltäter zuschlagen und Sicherheitslücken entdecken, durch die sie Zugriff auf serverseitige Infrastruktur oder zum Multimediasystem des Autos erhalten.

Keine Integritätsprüfung des Codes. Dies erlaubt es den Kriminellen, ihren eigenen Code in die App zu schleusen, wodurch schädliche Funktionen hinzugefügt werden und das ursprüngliche Programm durch eine Imitation auf dem Gerät des Nutzers ersetzt wird.

Keine Nachweismethoden fürs Rooten. Root-Rechte statten Trojaner mit nahezu unendlichen Fähigkeiten aus und hinterlassen eine wehrlose App.

Unzureichender Schutz vor Overlay-Technik. Dies erlaubt es den böswilligen Apps Phishing-Fenster über den Fenstern der Original-App anzuzeigen, wodurch Nutzer dazu gebracht werden ihre Anmeldedaten in Fenster einzugeben, die die Informationen an Kriminelle weiterleiten.

Speicherung von Benutzernamen und Passwörtern in Klartext. Mit Hilfe dieses Schwachpunkts kann ein Krimineller relativ einfach Nutzerdaten stehlen.

Nach einer erfolgreichen Ausbeutung kann ein Angreifer Kontrolle über das Auto gewinnen, Türen aufschließen, den Sicherheitsalarm ausschalten und theoretisch sogar das Fahrzeug stehlen.

Die Forscher teilten den Entwicklern ihre Funde mit (sie machten die Namen der Apps nicht öffentlich) und berichteten ihnen auch, dass sie keine wilde Ausbeutung beobachtet hatten. Einen vollständigen, detaillierten Bericht können Sie bei Securelist finden, wo die einzelnen Apps bewertet werden.

Es ist einfach den Kopf in den Sand zu stecken und zu glauben, dass man kein Opfer von Hacking wird oder dass das alles Science-Fiction ist, aber die Wahrheit ist, dass das Auto seit seiner Erfindung Ziel von Kriminellen ist. Und wenn es jetzt noch einen Hack gibt, der alles vereinfacht… Man stelle sich nur die Möglichkeiten vor.

Eine andere Sache, die man bedenken muss, ist, dass wir bereits gesehen haben, wie Sicherheitslücken es White-Hat-Hackern ermöglichen, den Sprung von einer „gutartigen Sicherheitslücke“ zur Kontrolle über das Auto zu machen. Zwei der größeren Meldungen über Autos der letzten zwei Jahre handeln von Charlie Miller und Chris Valasek und wie sie mit Hilfe von Schwachstellen die Kontrolle über einen Jeep gewannen.

Letztendlich laufen die persönliche Sicherheit und App-Nutzung auf persönliche Vorlieben hinaus. Mit wem wir unsere Daten teilen oder wem wir unsere Bequemlichkeit anvertrauen, hängt allein von uns ab. Bei vernetzten Geräten und Apps wird zu oft die Bequemlichkeit anstelle der Sicherheit in Betracht gezogen.

Abschließend stellt Chebyshev fest:

„Die Applikationen für vernetzte Autos sind nicht gerüstet für den Widerstand gegen Malware-Attacken. Wir glauben, dass die Fahrzeughersteller denselben Weg gehen müssen, den schon die Banken mit ihren Apps eingeschlagen haben… Nach zahlreichen Angriffen auf Banking-Apps haben viele Banken die Sicherheit ihrer Produkte verbessert.“

„Glücklicherweise haben wir bisher noch keine Fälle von Angriffen auf Auto-Apps entdeckt, was bedeutet, dass Autoverkäufer noch Zeit für Ausbesserungen haben. Wieviel Zeit sie haben, ist ungewiss. Moderne Trojaner sind äußerst flexibel. Heute können sie sich noch wie ganz normale Adware verhalten und morgen schon ohne Weiteres eine neue Konfigurierung herunterladen, mit der neue Apps ins Visier genommen werden können. Die Angriffsfläche ist hierbei gewaltig.“

Tipps