Erneut Sicherheitslücken in Apps zur Auto-Steuerung entdeckt

Ein Sicherheitsexperte hat erneut Lücken in Apps aufgedeckt, mit denen Autobesitzer Funktionen ihres Wagens steuern. Er demonstrierte Schwachstellen in Apps der Hersteller BMW, Mercedes Benz und Chrysler.

In Pocket speichern vorlesen Druckansicht 37 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Dorothee Wiegand

Der Sicherheitsforscher Samy Kamkar befasst sich mit Apps zur Remote-Steuerung - beispielsweise von Garagentoren, aber auch von Autos - und stößt dabei immer wieder auf Sicherheitsprobleme. Nun zeigte er, dass drei iOS-Apps zur Autosteuerung, nämlich BMW Remote, Mercedes-Benz mbrace und Chrysler's Uconnect für Hackerangriffe anfällig sind.

Bereits vor ein paar Wochen hatte Kamkar eine Sicherheitslücke der OnStar-App aufgezeigt, mit der sich Autos des Herstellers General Motors orten, öffen, verschließen und auch starten lassen. Mit Hilfe einer selbstkonstruierten Hardware in einer kleinen Box gelang es ihm, fremde Wagen zu öffnen und den Motor zu starten. Seine Box nannte Kamkar "OwnStar", das Vorgehen dokumentierte er in einem Video. General Motors reagiert inzwischen auf den Hinweis: Mit einem Update der OnStar-App wurde die Sicherheitslücke geschlossen, worauf auch ein Text im Video von Samy Kamkar hinweist.

Mit derselben Technik gelang es Kamkar jetzt jedoch, auch die Kommunikation der Apps von BMW, Mercedes und Chrysler abzufangen. Wie bei OnStar erfolgt diese offenbar verschlüsselt, doch auch die genannten Apps überprüfen nicht, ob sie mit der richtigen Gegenstelle kommunizieren. Mit einem eigenen WLAN-Hotspot lässt sich daher die Verbindung zwischen Mobilgerät und Auto abhören. "OwnStar" klinkt sich als Man-in-the-Middle in die Kommunikation ein. Der Angreifer muss das Gerät lediglich dazu bringen, dass es seine Internet-Kommunikation über seinen Hotspot abwickelt. Das ist möglich, indem man einen WLAN-Hotspot aufmacht und ihm den Namen eines Netzes gibt, den das Gerät bereits kennt. Mit den so gewonnenen Daten kann ein Hacker später alle Funktionen der App nutzen, also das Auto öffnen, verschließen und auch starten. (dwi)