Zahlreiche mit dem Internet verbundene Fahrzeuge sind inzwischen auf unseren Straßen unterwegs. Eine spanische Proof-of-Concept-Studie [1] von Kaspersky Lab in Zusammenarbeit mit IAB hat die Sicherheit des aktuell stark fragmentierten Software-Ecosystems von vernetzten Fahrzeugen diverser Hersteller unter die Lupe genommen. Dabei zeigten sich vor allem vier Security-Schwachpunkte: Der Umgang der Fahrer mit ihren Zugangsdaten, mobile Apps, Updates der Software und die Datenverbindung im Fahrzeug.
Die Studie wurde von IAB Spain durchgeführt, einem Zusammenschluss führender Agenturen für Marketing und digitale Medien in Spanien. Partner waren neben Kaspersky Lab auch Applicantes und Motor.com. Die Studie ist die erste ihrer Art und gibt einen umfassenden Überblick des spanischen Markts für vernetzte Fahrzeuge. 21 Modelle von 15 verschiedenen Herstellern wurden im Hinblick auf Geschäftsmodelle, führende Apps und zukünftige Trends wie Konnektivität und IT-Sicherheit untersucht.
Vicente Diaz, Principal Senior Researcher bei Kaspersky Lab, hat im Rahmen der Studie am Beispiel der Fahrerassistenzsysteme von ConnectedDrive von BMW mögliche Sicherheitslücken untersucht. „Vernetzte Fahrzeuge können die Türen zu jenen Cybergefahren öffnen, die schon lange von PCs und Smartphones bekannt sind“, bilanziert Diaz. „Wird etwa einem Besitzer das Zugangspasswort zum Assistenzsystem gestohlen, kann damit der Standort des Fahrzeugs ermittelt werden, und auch die Türen lassen sich ferngesteuert öffnen. Ein sorgsamer Umgang mit diesen Daten ist also entscheidend und Besitzer vernetzter Fahrzeuge sollten sich darüber im Klaren sein, dass neue Risiken auf sie warten.“
Vier mögliche Angriffspunkte für Cyberkriminelle
Kaspersky Lab konnte im Rahmen der Analyse von ConnectedDrive vier unterschiedliche potenzielle Angriffsvektoren von vernetzten Fahrzeugen ermitteln:
Zugangsdaten des Systems: Mit bekannten Methoden wie Phishing, Keylogging und Social Engineering könnten Cyberkriminelle die Zugangsdaten zur BMW-Webseite stehlen und damit unautorisiert auf Anwenderinformationen zugreifen. So lassen sich zum Beispiel weitere mobile Apps für den Zugriff auf das Fahrzeug einrichten, etwa um es zu öffnen und einfach loszufahren.
Mobile Apps: Wer vom Smartphone aus über eine App sein Fahrzeug ferngesteuert öffnen will, sollte sich immer bewusst machen, dass er einen weiteren elektronischen Fahrzeugschlüssel hat. Wird die Anwendung nicht gesichert, gibt man mit dem Handy auch den Schlüssel aus der Hand. Diebe erhalten so einen möglichen Zugang zur Datenbankanwendung und könnten auch die PIN-Authentifizierung umgehen. Damit haben Angreifer leichten Zugang zur Fernsteuerung des Fahrzeugs.
Updates: ConnectedDrive kann über Bluetooth aktualisiert werden. Der Besitzer kopiert dazu einfach die aktuelle Version von der BMW-Webseite auf einen USB-Stick. Die Daten auf dem Stick sind weder signiert noch verschlüsselt, und enthalten zudem zahlreiche Angaben über die im Fahrzeug laufenden Systeme. Mögliche Angreifer könnten hier über entsprechende Manipulationen auch Schadprogramme einschleusen.
Datenverbindung: Einige Funktionen lassen sich mit Hilfe von SMS-Nachrichten an die im Fahrzeug befindliche SIM-Karte steuern. Abhängig vom gewählten Grad der Verschlüsselung könnten so Cyberkriminelle auch unautorisiert Befehle erteilen und im schlimmsten Fall die Steuerung komplett übernehmen.
Weitere Ergebnisse der Studie zu den Themen Internetverbindung und führende Apps in der spanischen Automobilindustrie sind:
- Die existierende Software-Landschaft bei Betriebssystemen, Verbindungsarten und Apps ist stark fragmentiert.
- Bieten Hersteller kostenfreie Angebote, sind diese oft zeitlich begrenzt
- Viele Online-Dienste benötigen 3G-Netze, stehen also nicht flächendeckend zur Verfügung.
- Der Zugriff auf Online-Dienste kann für die Nutzer mit Zusatzkosten verbunden sein.
- Die meisten Modelle verfügen auch über eine Sprachsteuerung und damit eine der sichersten Steuerungsarten.
Die vollständige Studie ist in spanischer Sprache verfügbar unter: www.iabspain.net/wp-content/uploads/downloads/2014/07/Informe-coches-conectados-2014.pdf
[1] Studie „I Estudio Anual de Coches Conectados“: www.iabspain.net/wp-content/uploads/downloads/2014/07/Informe-coches-conectados-2014.pdf