News vom 26.09.2017

Auto-Apps noch immer unsicher

Ein Artikel von , veröffentlicht am 26.09.2017

Das russische IT-Sicherheitsunternehmen Kaspersky hat 13 Apps für den Zugriff auf das eigene Auto getestet. Geprüft wurde, ob sie vor gängigen Angriffsszenarien geschützt sind. Das Ergebnis: Keine der Smart-Car-Anwendungen überzeugte die IT-Experten.

Praktisch jeder namhafte Autohersteller bietet inzwischen auch eigene Apps an. Mit diesen Apps können Besitzer von neueren Automodellen ihren Wagen zum Beispiel per Handy orten, abschließen oder aufschließen und bei einigen sogar den Motor starten.

In vielen dieser Apps sind auch sensible Informationen hinterlegt, etwa die Fahrgestellnummer oder Zahlungsdetails des Besitzers.

Diese sogenannten Smart-Car-Apps sind in der Vergangenheit immer wieder wegen Sicherheitsmängeln in die Kritik geraten. Daran hat sich offenbar noch nicht viel geändert, wie der russische Anbieter von IT-Sicherheitssoftware, Kaspersky, in einer aktuellen Untersuchung zeigt.

Die Firma hatte 13 Apps großer Automobilhersteller unter die Lupe genommen, und untersucht, ob sie für gängige Angriffe von Schadprogrammen anfällig sind.

 

Schwächen in allen Apps diagnostiziert

Das Ergebnis der Untersuchung ist verheerend: Alle getesteten Apps sind für zahlreiche Angriffe anfällig. Sieben dieser Apps hatte Kaspersky Anfang 2017 schon einmal getestet und für mangelhaft befunden.

Obwohl Kaspersky die betreffenden Autohersteller damals schon über die gefunden Schwachstellen informiert hatte, waren sie bei der Folgeuntersuchung noch immer vorhanden. Die Unternehmen, so Kaspersky, seien fahrlässig inaktiv gewesen:

„In den Monaten, in denen die Hersteller von den Problemen wussten, haben sie nichts unternommen, die Schwachstellen zu beheben. Im Gegenteil; einige der Apps wurden erst gar nicht aktualisiert.“

Kein rein theoretisches Szenario

Inzwischen gibt es Hinweise darauf, dass auch Kriminelle die unsicheren Auto-Apps inzwischen entdeckt haben. So haben die Mitarbeiter von Kaspersky auf Foren im Darknet Anzeigen entdeckt, auf denen Kontoinformationen aus Smart-Car-Apps für mehrere hundert Dollar zum Verkauf angeboten wurden.

Allerdings nennt der Bericht keinen konkreten Fall, bei dem ein Autobesitzer durch einen Angriff auf eine Auto-App geschädigt wurde. Und wie bei allen Warnungen dieser Art gilt: Wer selbst IT-Sicherheitslösungen verkauft, hat immer ein Interesse daran, die Situation etwas schwärzer zu malen, als sie vielleicht ist.

Dennoch sollten Nutzer und Nutzerinnen bedenken, dass Mindestvorschriften und -standards für Sicherheit und Qualität, wie wir sie aus der materiellen Welt kennen, für digitale Produkte größtenteils noch nicht etabliert sind.

Wer ein Auto kauft, kann sich darauf verlassen, dass die Bremsen funktionieren. Wer ein Smartphone oder eine App erwirbt, hat diesbezüglich keinerlei Sicherheit.

Anmerkung: Im verlinkten deutschsprachigen Blogpost heißt es, dass in der ersten Untersuchung neun Apps getestet wurden. Dabei handelt es sich um einen Fehler. Tatsächlich wurden im ersten Testlauf sieben Anwendungen untersucht.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Android-Handy knacken mit Hard Reset?

Die meisten Handys sind für Diebe oder unehrliche Finder attraktiv - trotz Bildschirmsperre. Denn mit einem sogenannten Hard Reset kann man sie meist auf die Werkseinstellung zurücksetzen. Google steuert mit einer Sicherheitsfunktion dagegen. Aber: Funktioniert diese auch?

Ansehen
App-Test 

Fruchtbarkeits-App Lady Cycle: Empfehlenswert (Android)

Die Fruchtbarkeits-App Lady Cycle bestimmt die fruchtbaren Tage der Nutzerin mit der NFP-Methode. Ein Schweizer Entwicklerteam finanziert die App privat und mit Spenden, um sie kostenlos und werbefrei anbieten zu können. Alle Daten der Nutzerin verbleiben auf dem Gerät. Vorbildlich!

Mehr
App-Test 

Heimweg-App Vivatar kurz vorgestellt

Die Heimweg-App Vivatar der Firma Bosch bietet einen Begleitservice und eine Notfallfunktion - allerdings nur in der Premiumversion. Nutzer*innen starten mit einem kostenlosen Premium-Probemonat - bei unserem Test ließ sich jedoch keine Begleitung starten. Welche Daten der Dienst genau speichert und wie lange, wird nur lückenhaft erklärt.

Mehr
Messenger 

Messenger-App Briar kurz vorgestellt

In Sachen Anonymität schlägt Briar alle anderen von uns vorgestellten Messenger. Briar-Nutzer kommunizieren über das Anonymisierungsnetzwerk Tor und es fallen keinerlei Metadaten an. Selbst die IP-Adresse bleibt geheim. Massentauglich ist das junge Projekt aber noch nicht, da wichtige Funktionen fehlen.

Mehr