Smart-Cars mit Gefahren: Viele Apps enthalten Sicherheitslücken
In den Horrorvisionen aller Smart-Car-Skeptiker übernehmen Hacker die Kontroller über fremde Fahrzeuge und drohen das Vehikel gegen eine Mauer sausen zu lassen, wenn der Fahrgast nicht rasch ein hübsches Sümmchen überweist. Derlei Gedankengänge treiben zwar die Sicherheitsbedenken auf die Spitze, es liegt aber zumindest ein kleiner Funken Wahrheit darin. So haben die Mitarbeiter von Kaspersky Lab mehrere Android-Apps für vernetzte Fahrzeuge getestet. Sie mussten leider erhebliche Sicherheitslücken feststellen, die sich leicht durch Angreifer ausnutzen lassen könnten. Sechs der Apps verschlüsselten zudem die Nutzerdaten nicht.
Allerdings beziehen sich die Erkenntnisse von Kaspersky Lab weniger auf Mölichkeiten, sich in Fahrzeuge direkt über deren interne Technik einzuklinken – selbst wenn hier durch andere Forscher bereits eklatante Fehler nachgewiesen wurden. Nein, die Kaspersky-Leute haben sich vor allem mit Android-Apps für Fahrzeuge beschäftigt. Durch die enthaltenen Sicherheitslücken könnten Dritte die Daten aus den Apps entwenden, sich damit Zugang zum jeweiligen, fremden Fahrzeug verschaffen und eventuell sogar das Auto stehlen. Zwar müsse dafür noch ein passender, digitaler Schlüssel erstellt werden, teilweise sei es dank der Apps aber möglich, die On-Board-Daten der Fahrzeuge zu manipulieren. Durch jene Manipulationen könnte ein Dritter dann seine eigenen, digitalen Schlüssel verwenden, um das Auto nicht nur zu entsperren, sondern auch den Alarm zu deaktivieren.
Alle sieben durch Kaspersky Lab getesteten Apps erlaubten es, die Autotüren zu öffnen. Sechs konnten auch den Motor starten. Zwei der sieben Apps wiederum verschlüsselten weder die Login-Möglichkeiten noch die Nutzerdaten, was den Diebstahl natürlich enorm vereinfacht. Keine der Apps führte eine Integritätsüberprüfung oder einen Check durch, der auf Root-Rechte hinweisen könnte. Entsprechend wird es dadurch Kriminellen erleichtert, manipulierte Varianten der Apps zu erstellen.
Gut, jene manipulierten Versionen müsste sich der Fahrzeughalter dann erst installieren, um z. B. weitere Schritte möglich zu machen. Hier wären aber die üblichen Täuschungsversuche möglich – etwa Phishing-Attacken, die zu vermeintlichen Updates der Apps führen und in Wahrheit die mit Malware versuchten App-Versionen bei den Autobesitzern installieren.
Kaspersky weist darauf hin, dass es zwar aktuell keine Berichte über derartige Malware gebe, die Sorglosigkeit der App-Entwickler überrasche aber dennoch. Und wer ohnehin bei Smart-Cars skeptisch ist, findet hier wohl leider einen guten Anlass, um es auch zu bleiben.
Quelle: caschy
Du musst angemeldet sein, um Bilder zu sehen.
In den Horrorvisionen aller Smart-Car-Skeptiker übernehmen Hacker die Kontroller über fremde Fahrzeuge und drohen das Vehikel gegen eine Mauer sausen zu lassen, wenn der Fahrgast nicht rasch ein hübsches Sümmchen überweist. Derlei Gedankengänge treiben zwar die Sicherheitsbedenken auf die Spitze, es liegt aber zumindest ein kleiner Funken Wahrheit darin. So haben die Mitarbeiter von Kaspersky Lab mehrere Android-Apps für vernetzte Fahrzeuge getestet. Sie mussten leider erhebliche Sicherheitslücken feststellen, die sich leicht durch Angreifer ausnutzen lassen könnten. Sechs der Apps verschlüsselten zudem die Nutzerdaten nicht.
Allerdings beziehen sich die Erkenntnisse von Kaspersky Lab weniger auf Mölichkeiten, sich in Fahrzeuge direkt über deren interne Technik einzuklinken – selbst wenn hier durch andere Forscher bereits eklatante Fehler nachgewiesen wurden. Nein, die Kaspersky-Leute haben sich vor allem mit Android-Apps für Fahrzeuge beschäftigt. Durch die enthaltenen Sicherheitslücken könnten Dritte die Daten aus den Apps entwenden, sich damit Zugang zum jeweiligen, fremden Fahrzeug verschaffen und eventuell sogar das Auto stehlen. Zwar müsse dafür noch ein passender, digitaler Schlüssel erstellt werden, teilweise sei es dank der Apps aber möglich, die On-Board-Daten der Fahrzeuge zu manipulieren. Durch jene Manipulationen könnte ein Dritter dann seine eigenen, digitalen Schlüssel verwenden, um das Auto nicht nur zu entsperren, sondern auch den Alarm zu deaktivieren.
Du musst angemeldet sein, um Bilder zu sehen.
Alle sieben durch Kaspersky Lab getesteten Apps erlaubten es, die Autotüren zu öffnen. Sechs konnten auch den Motor starten. Zwei der sieben Apps wiederum verschlüsselten weder die Login-Möglichkeiten noch die Nutzerdaten, was den Diebstahl natürlich enorm vereinfacht. Keine der Apps führte eine Integritätsüberprüfung oder einen Check durch, der auf Root-Rechte hinweisen könnte. Entsprechend wird es dadurch Kriminellen erleichtert, manipulierte Varianten der Apps zu erstellen.
Gut, jene manipulierten Versionen müsste sich der Fahrzeughalter dann erst installieren, um z. B. weitere Schritte möglich zu machen. Hier wären aber die üblichen Täuschungsversuche möglich – etwa Phishing-Attacken, die zu vermeintlichen Updates der Apps führen und in Wahrheit die mit Malware versuchten App-Versionen bei den Autobesitzern installieren.
Kaspersky weist darauf hin, dass es zwar aktuell keine Berichte über derartige Malware gebe, die Sorglosigkeit der App-Entwickler überrasche aber dennoch. Und wer ohnehin bei Smart-Cars skeptisch ist, findet hier wohl leider einen guten Anlass, um es auch zu bleiben.
Quelle: caschy