Vernetzte Fahrzeuge
09.07.2014, 15:57 Uhr
Security-Schwachpunkte bei BMW ConnectedDrive
Sicherheitsrisiko vernetztes Fahrzeug: Eine aktuelle Studie von Kaspersky Lab und IAB deckt Schwächen beim Umgang mit Zugangsdaten sowie bei Apps, Updates und Datenverbindungen auf.
Vernetzte Fahrzeuge bieten Cyberkriminellen neue Angriffspunkte. Eine Proof-of-Concept-Studie von Kaspersky Lab in Zusammenarbeit mit IAB hat die Sicherheit vernetzter Fahrzeuge nun erstmals genauer unter die Lupe genommen. Im Rahmen der Analyse von BMWs ConnectedDrive zeigten sich dabei vier potenzielle Security-Schwachpunkte:
Zugangsdaten des Systems: Per Phishing, Keylogging oder Social Engineering könnten Cyberkriminelle die Zugangs- und Kundendaten der BMW-Webseite stehlen. Dann würden sich weitere Apps für den Zugriff auf das Fahrzeug einrichten lassen, etwa um es zu öffnen und einfach loszufahren.
Mobile Apps: Wer sein Fahrzeug über Smartphone-Apps ferngesteuert öffnet, hat damit einen weiteren elektronischen Fahrzeugschlüssel. Wird die App nicht gesichert, gibt man mit dem Handy also auch den Schlüssel aus der Hand. Diebe könnten so Zugang zur Datenbankanwendung erhalten und auch die PIN-Authentifizierung umgehen.
Updates: ConnectedDrive lässt sich per Bluetooth aktualisieren. Der Besitzer lädt dazu die neue Software-Version von der BMW-Webseite. Diese ist allerdings weder signiert noch verschlüsselt, und enthält zudem Angaben über die im Fahrzeug laufenden Systeme. Potentielle Angreifer könnten hier über entsprechende Manipulationen auch Schadprogramme einschleusen.
Datenverbindung: Mit Hilfe von SMS-Nachrichten an die im Fahrzeug befindliche SIM-Karte lassen sich einige Funktionen ebenfalls steuern. Abhängig vom gewählten Grad der Verschlüsselung könnten Cyberkriminelle so auch unautorisiert Befehle erteilen und unter Umständen sogar die Steuerung komplett übernehmen.
"Vernetzte Fahrzeuge können die Türen zu jenen Cybergefahren öffnen, die schon lange von PCs und Smartphones bekannt sind", bilanziert Vicente Diaz, Principal Senior Researcher bei Kaspersky Lab. "Wird etwa einem Besitzer das Zugangspasswort zum Assistenzsystem gestohlen, kann damit der Standort des Fahrzeugs ermittelt werden, und auch die Türen lassen sich ferngesteuert öffnen. Ein sorgsamer Umgang mit diesen Daten ist also entscheidend und Besitzer vernetzter Fahrzeuge sollten sich darüber im Klaren sein, dass neue Risiken auf sie warten."