Zwei Sicherheitsforscher von Kaspersky haben Lücken in neun Apps entdeckt, mit denen sich Fahrzeugbesitzer mit ihren smarten Autos vernetzen. Die Anwendungen wurden hunderttausende Male, einige sogar millionenfach heruntergeladen. Ist der Angriff auf die Apps erfolgreich, könnten die Hacker laut "Wired" "das Auto orten, es aufsperren und in einigen Fällen sogar den Motor starten". Ein tatsächlicher Diebstahl sei allerdings schwierig, da die Diebe hier zusätzliche Schutzmechanismen wie eine Fahrsperre aushebeln müssten.

Zu wenig Wert auf Sicherheit gelegt

Mit der Analyse wollen die Kaspersky-Forscher zeigen, dass die Autobranche zu wenig Wert auf Sicherheit bei ihren Apps legt. Im Vergleich zu Anwendungen im Finanzbereich sei das Sicherheitsdesign der Auto-Apps mangelhaft, sagen die Forscher in "Wired". So werden Informationen unverschlüsselt auf dem Smartphone des Autobesitzers gespeichert. Kriminelle könnten diese ergattern, indem sie das Gerät mit Schadsoftware infizieren oder sich bei einem Diebstahl des Smartphones erweiterte Rechte holen, es also "rooten".

Usernamen kursieren in Hackerforen

Laut Kaspersky kursieren in Hackerforen bereits Usernamen und Passwörter von Autobesitzern. Noch ist aber keine Schadsoftware entdeckt worden, die Designschwächen der Auto-Apps ausnutzt. Die Sicherheitsforscher wollten die Namen der neun untersuchten Apps derzeit nicht nennen, da sie Herstellern die Chance geben wollen, die Fehler zu korrigieren.

Ebenso gibt es derzeit keine detaillierten Informationen zu den Angriffsmethoden. Offenbar wandten sich die IT-Forscher mit ihren Ergebnissen an das US-Technikmagazin "Wired", um Druck auf die Autobranche auszuüben.

Mängel nichts Neues

Sicherheitslücken bei smarten Autos sind prinzipiell nichts Neues. Meist ging es bei früheren Lücken aber darum, die Autos direkt anzugreifen, etwa mit speziellem Equipment. So sorgte vor zwei Jahren ein 14-jähriger Hacker für Aufsehen, der ein Auto mit Gerätschaft im Wert von rund 15 Dollar knacken konnte. Im Sommer 2015 konnten Forscher eine Corvette per SMS zum Bremsen veranlassen. Kaspersky zeigt nun, dass auch die zu smarten Autos gehörenden Apps klare Mängel aufweisen. (fsc, 17.2.2017)