Millionen von Autos drohen gestohlen zu werden, nachdem Android-App gehackt wurde

Im Zeitalter vernetzter Fahrzeuge konkurrieren Autohersteller und Drittentwickler darum, Smartphones in Fernbedienungen umzuwandeln, die es Fahrern ermöglichen, ihre Fahrzeuge mit dem Telefon zu orten und zu ver- und entriegeln. Einige Anwendungen können sogar die Szene aus „Knight Rider“ umsetzen – indem sie ein Auto oder einen LKW an Ihre Seite rufen.

Smartphones bieten zwar Mobilität, bergen jedoch auch das Risiko, gehackt zu werden. Sobald das Telefon gehackt ist, fallen alle über das Netzwerk gesteuerten Internetfunktionen des Autos in die Kontrolle des Hackers.

Und die kürzlich veröffentlichten Umfrageergebnisse zeigen, dass diese Sorge völlig berechtigt ist. Kürzlich testete ein Forscherteam des russischen Sicherheitsunternehmens Kaspersky Android-Apps (von sieben Unternehmen) auf neun vernetzten Autos, die mehr als Hunderttausende Male heruntergeladen worden waren, wobei die Downloads einiger Apps mehr als eine Million Mal überschritten wurden. Sie stellten jedoch fest, dass diese Apps nicht einmal den grundlegendsten Softwareschutz boten, geschweige denn den Autobesitzern dabei halfen, eines ihrer wichtigsten und wertvollsten Güter zu schützen.

Indem sie das Zielgerät rooteten und den Benutzer dazu brachten, Schadcode zu installieren, konnten die Hacker laut den Forschern alle sieben von Kaspersky getesteten Apps nutzen, um das Fahrzeug zu orten, die Türen aufzuschließen und in einigen Fällen sogar die Zündung zu starten.

Zündung

Um zu verhindern, dass Autodiebe diese Informationen für ihre Straftaten nutzen, lehnen die Forscher derzeit die Angabe detaillierter Namen der Testanwendungen ab. Sie meinen jedoch, dass eine Warnung an die Automobilindustrie gerichtet werden sollte, die die Automobilhersteller dazu auffordert, Sicherheitsfragen vorsichtiger zu behandeln.

Viktor Chebyshev, Sicherheitsforscher bei Kaspersky, fragte: Warum legen Entwickler von Apps für vernetzte Autos mehr Wert auf Sicherheit als Entwickler von Banking-Apps? Sie alle helfen den Benutzern dabei, verschiedene wertvolle Dinge zu kontrollieren, machen sich jedoch oft nicht allzu viele Gedanken über Sicherheitsmechanismen.

Die Forscher fanden heraus, dass Hacker im schlimmsten Fall Zugriff auf den Innenraum eines verschlossenen Fahrzeugs erlangen konnten. Mit zusätzlichen Mitteln wie dem Fälschen von Schlüsseln oder der Deaktivierung der Wegfahrsperre des Fahrzeugs könnten Autodiebe schwerwiegendere Folgen haben. Die Forscher wiesen darauf hin, dass Teslas Autos zwar nicht in diesen Test einbezogen waren, es jedoch ermöglichen, die Fahrt über Smartphone-Anwendungen zu starten, was bei einem Hack des Smartphones zu noch größeren Schäden führen würde.

Obwohl eine umfassende Analyse mehrerer Schwachstellen in der Anwendung durchgeführt wurde, wurde während des Testvorgangs nur eine der Schwachstellen zufällig ausgenutzt, um die betroffenen Modelle anzugreifen. Und die Forscher sagen, dass sie bislang keine Android-Malware gefunden haben, die den von ihnen beschriebenen Angriffsvektor aktiviert.

Dennoch glauben sie, dass Autodiebe allein durch einen Blick auf die Codeskripte der App gewusst haben könnten, wie sie die Schwachstellen und Funktionen ausnutzen können. Außerdem verweisen sie auf begrenzte Belege aus Hackerforen, die belegen, dass der Angriff auf dem Schwarzmarkt Aufmerksamkeit und Interesse erregt hat.

Laut einem Screenshot des Forenbeitrags (unten) gibt es Transaktionen für Internet Car Credentials, die Benutzernamen, Passwörter, PINs und Fahrzeugidentifikationsnummern (VIN) für verschiedene Märkte und Modelle enthalten. Die Angebote werden für Hunderte von Dollar pro Konto verkauft. „Diese Angriffe sind jetzt das Ziel von Cyberkriminellen“, sagte Chebyshev.

Die Forscher von Kaspersky haben drei Techniken beschrieben, die beim Testen von Android-Apps zum Einsatz kommen. (iOS gilt allgemein als schwieriger zu hacken). Bei allen getesteten Apps außer einer wurden entweder Benutzernamen oder Passwörter unverschlüsselt auf dem Telefon gespeichert, und bei einigen Apps erfolgte keine Verschlüsselung. Durch Rooten (Ausnutzen einer Sicherheitslücke, um vollen Zugriff auf das Betriebssystem des Geräts zu erhalten) des Telefons des Opfers greift der Hacker auf lokal gespeicherte Anmeldeinformationen zu und sendet sie an seinen Befehls- und Kontrollserver.

Zweitens glauben Sicherheitsforscher, dass Hacker Autobesitzer dazu verleiten könnten, eine modifizierte Version der Connected-Car-App herunterzuladen und zu installieren, die Schadprogramme enthält, und so an Anmeldedaten zu gelangen. Drittens können Autodiebe das Zielgerät mit einem Schadprogramm infizieren, das einen Overlay-Angriff durchführen kann: Sobald die Fahrzeuganwendung geöffnet wird, wird das Schadprogramm automatisch geladen und durch eine gefälschte Benutzeroberfläche ersetzt, wodurch Benutzeranmeldeinformationen gestohlen und übertragen werden. Hacker könnten sogar ein Schadprogramm mit mehreren Overlays laden, um das Opfer glauben zu machen, dass alle Internetverbindungen des Autos hergestellt wurden. „Wenn ich ein Angreifer wäre, würde ich alle Apps des vernetzten Autos überlagern und einfach die Anmeldeinformationen aller Apps stehlen“, sagte Chebyshev.

Schnallen Sie sich an

Die Forscher von Kaspersky sagten, sie hätten die Sicherheitslücke bereits mehreren Automobilherstellern gemeldet und seien noch dabei, weitere zu benachrichtigen. Sie wiesen jedoch auch darauf hin, dass es sich bei den von ihnen aufgezeigten Problemen nicht nur um Sicherheitslücken handele, sondern um einen Mangel an wirksamem Sicherheitsschutz. Dieses Problem lässt sich erheblich verbessern, indem die auf dem Gerät gespeicherten Anmeldeinformationen verschlüsselt oder gehasht werden, eine Zwei-Faktor-Authentifizierung oder Fingerabdruckerkennung hinzugefügt wird und Integritätsprüfungen durchgeführt werden, um sicherzustellen, dass die Anwendung nicht durch Schadprogramme verändert wurde.

Tatsächlich ist dies nicht der erste Bericht über fehlende Schutzmaßnahmen für Connected-Car-Anwendungen und er beschränkt sich nicht ausschließlich auf das Android-Betriebssystem. Der Sicherheitsexperte Samy Kamkar demonstrierte 2015, dass es möglich ist, Anmeldeinformationen für iOS-Apps wie Onstar von GM, UConnect von Chrysler, Mbrace von Mercedes-Benz und Remote von BMW mithilfe eines kleinen, im Auto versteckten Hardwareteils drahtlos abzufangen. Durch Kamkars Angriff können diese Fahrzeuge außerdem aus der Ferne geortet, entriegelt und in einigen Fällen sogar in Brand gesetzt werden.

Kamkar verglich Kaspersky und seine Angriffsmethoden und sagte: „Es wird keine Warnung geben: Ihre Anmeldeinformationen wurden von Hackern gestohlen oder wiederverwendet und Sie erhalten keine Benachrichtigungen auf Ihrem Mobiltelefon.“ Interessant ist jedoch, dass auch andere Aspekte Ihres Lebens beeinträchtigt werden können, wenn Ihr Telefon einmal kompromittiert ist.

Da vernetzte Autos immer leistungsfähiger werden, gehen die Forscher von Kaspersky davon aus, dass die Notwendigkeit, die Anwendungen, die diese Funktionen steuern, zu sperren, zunehmen wird. Der Kaspersky-Forscher Mikhail Kuzin sagte: „Vielleicht können wir heute die Autotür öffnen, ohne den Alarm auszulösen, aber diese Funktionen sind nur der Anfang des Internets der Dinge im Auto.“ Autohersteller werden verschiedene Funktionen hinzufügen, um unser Leben angenehmer zu machen. Um uns auf weitere derartige Angriffe in der Zukunft vorzubereiten, müssen wir jetzt sorgfältig nachdenken.

Als Gewinner des Qingyun-Plans von Toutiao und des Bai+-Plans von Baijiahao, des Baidu-Digitalautors des Jahres 2019, des beliebtesten Autors von Baijiahao im Technologiebereich, des Sogou-Autors für Technologie und Kultur 2019 und des einflussreichsten Schöpfers des Baijiahao-Vierteljahrs 2021 hat er viele Auszeichnungen gewonnen, darunter den Sohu Best Industry Media Person 2013, den dritten Platz beim China New Media Entrepreneurship Competition Beijing 2015, den Guangmang Experience Award 2015, den dritten Platz im Finale des China New Media Entrepreneurship Competition 2015 und den Baidu Dynamic Annual Powerful Celebrity 2018.