Unsichere Nachrüst-Alarmanlagen begünstigen Autoklau

Wenn eine Firma behauptet, ihr Sicherheitssystem sei unhackbar, dann beschwört sie damit oft Probleme herauf: Auf Sicherheitsforscher wirkt so eine Ansage wie ein rotes Tuch auf einen Stier. Der Hersteller Pandora behauptet auf seiner Webseite, seine Auto-Alarmanlagen seien unknackbar. Das veranlasste Sicherheitsforscher der britischen Firma Pen Test Partners, den smarten Alarmanlagen gründlich auf den Zahn zu fühlen. Was sie bei Produkten des russischen Herstellers und der US-amerikanischen Firma Viper fanden, ist beängstigend: Eine ungesicherte Server-API, mit der man Autos finden, aufschließen und komplett kontrollieren kann. Die Alarmanlage wird zum perfekten Tool für Autodiebe.

Finden, starten und wegfahren

Anfällig sind mehrere unter dem Markennamen Pandora Alarms vertriebene Systeme und das Produkt Viper Smart Start. Diese Alarmanlagen werden zum Nachrüsten teurer oder seltener Autos vertrieben, vor allem Sportwagen und SUVs. Mit dem CAN-Bus des Wagens gekoppelt, steuern sie die Zentralverriegelung, den Motor und Mikrofone im Wageninneren. Der Wagenbesitzer kann mit einer Smartphone-App oder einem Web-Interface sein Auto jederzeit orten lassen, den Motor abstellen und akustische Alarmsignale auslösen. Dummerweise waren die APIs der Systeme beider Hersteller so schlecht abgesichert, dass ein Angreifer aus dem öffentlichen Netz die komplette Kontrolle über den Wagen übernehmen konnte.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Videos immer laden Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Dazu musste ein Angreifer lediglich den entsprechenden API-Endpunkt aus dem Traffic der Apps auslesen. Über die ungesicherte API war es für einen interessierten Hacker relativ einfach, den Anmeldenamen (also die E-Mail-Adresse) und das Passwort eines Wagenbesitzers zu ändern. Ohne dass der Besitzer des Fahrzeugs es mitbekommen hätte, konnte der Angreifer dann dessen Auto orten, den Schlüssel klonen und das Auto mit seiner Handy-App aufschließen und wegfahren können. Außerdem hätte er die internen Mikrofone des Wagens abhören können. Bei mehreren Fahrzeugtypen war es außerdem möglich, die eingestellte Geschwindigkeit des Cruise-Control-Systems zu ändern. Bei einem Range Rover konnten die Forscher sogar den Motor während der Fahrt abstellen.

Angreifbare Nutzerkonten waren einfach zu finden

An die Nutzerinformationen der App zu kommen, um die entsprechenden Fahrzeuge zu hacken, war ebenfalls trivial. Alleine mit einem Test-Konto gelang es den Forschern sowohl bei der Pandora- als auch der Viper-App, über die API sämtliche am System angemeldeten Fahrzeuge samt Anmelde-Mail-Adresse auszulesen. Solche ungesicherten Web-APIs sind keine Seltenheit, so deckten c't und heise online vor einiger Zeit ganz ähnliche Schwachstellen in Kinder-Tracking-Smartwatches auf. Wenn sich allerdings ein System zur Absicherung teurer Autos trivial einfach in das perfekte Diebstahl-Werkzeug verwandeln lässt, ist das wohl besonders absurd. Was es noch viel unglaublicher macht, dass Pandora behauptet hatte, die eigene Alarm-Technik sei unhackbar.

Beide Hersteller haben die Sicherheitslücken behoben, bevor Pen Test Partners mit ihren Erkenntnissen an die Öffentlichkeit gingen. Die beiden Systeme sind im Vereinigten Königreich, Russland und den USA unter den am meisten verbreiteten After-Market-Alarmsystemen. Auch in Deutschland werden sie von einer Anzahl Dienstleister und Werkstätten angeboten – sowohl zum Selbsteinbau, als auch als Nachrüst-Service in Werkstätten. (fab)