Auto & Technik auf PC-WELT

Audio- oder Multimedia-Systeme, Navis, eCall und mehr: Die Elektronik in modernen Autos wird immer ausgefeilter. Wir testen die Multimedia- und Multifunktionssysteme von Audi, BMW, Mercedes, Toyota und vielen Herstellern mehr.

1967657

Sicherheits-Experten warnen vor Risiken in vernetzten Autos (Update)

09.07.2014 | 17:25 Uhr |

Eine neue Studie zu Sicherheits-Risiken im vernetzten Auto dürfte BMW sauer aufstoßen. Denn das russische Sicherheits-Unternehmen Kaspersky hat zusammen mit IAB Spain eine Studie veröffentlicht, die ernste Sicherheitslücken in BMW ConnectedDrive offen legt. Aber auch andere Automobil-Hersteller sind betroffen. Update II: Kaspersky betont, dass BMW ConnectedDrive nicht besonders unsicher sei. Und erklärt, weshalb man ausgerechnet am Beispiel von ConnectedDrive die möglichen Risiken aufgezeigt habe.

BMW ConnectedDrive ist derzeit sicherlich eine der leistungsfähigsten und umfangreichsten Infotainmentlösungen für Unterhaltung/Multimedia, Internetnutzung, Smartphone-Konnektivität, Telematik und Navigation im Auto. Ausgerechnet an dieser hochpreisigen Premium-Lösung demonstrieren die Experten des russischen Sicherheits-Unternehmens Kaspersky Lab zusammen mit IAB Spain (einem Zusammenschluss von spanischen Marketing-Agenturen), Applicantes und Motor.com exemplarisch die Sicherheitsrisiken moderner vernetzter Autos.

ConnectedDrive von BMW im Praxis-Test

BMW ConnectedDrive war allerdings nur eines von 15 getesteten Infotainmentsystemen. So nahmen die Sicherheistexperten zum Beispiel auch die ähnlich hochpreisigen Systeme Audi Connect und Mercedes Comand Online unter die Lupe. Bei der Proof-of-Concept-Studie von Kaspersky Lab zeigten sich Hersteller-übergreifend vor allem vier Security-Schwachpunkte: Der Umgang der Fahrer mit ihren Zugangsdaten, mobile Apps, Updates der Software und die Datenverbindung im Fahrzeug. Die vollständige Studie ist in spanischer Sprache verfügbar. 21 Modelle von 15 verschiedenen Herstellern wurden darin im Hinblick auf Geschäftsmodelle, führende Apps und zukünftige Trends wie Konnektivität und IT-Sicherheit untersucht.

BMW ConnectedDrive mit Online-Entertainment, Touchpad & Android-Support getestet

Vicente Diaz, Principal Senior Researcher bei Kaspersky Lab, hat im Rahmen der Studie am Beispiel der Fahrerassistenzsysteme von ConnectedDrive von BMW mögliche Sicherheitslücken untersucht. „Vernetzte Fahrzeuge können die Türen zu jenen Cybergefahren öffnen, die schon lange von PCs und Smartphones bekannt sind“, bilanziert Diaz. „Wird etwa einem Besitzer das Zugangspasswort zum Assistenzsystem gestohlen, kann damit der Standort des Fahrzeugs ermittelt werden, und auch die Türen lassen sich ferngesteuert öffnen. Ein sorgsamer Umgang mit diesen Daten ist also entscheidend und Besitzer vernetzter Fahrzeuge sollten sich darüber im Klaren sein, dass neue Risiken auf sie warten.“

Gratis-PC-WELT-Newsletter Auto & Technik abonnieren

Vier mögliche Angriffspunkte für Cyberkriminelle

Kaspersky Lab konnte im Rahmen der Analyse von ConnectedDrive vier unterschiedliche potenzielle Angriffsvektoren von vernetzten Fahrzeugen ermitteln:

Zugangsdaten des Systems : Mit bekannten Methoden wie Phishing, Keylogging und Social Engineering könnten Cyberkriminelle die Zugangsdaten zur BMW-Webseite stehlen und damit unautorisiert auf Anwenderinformationen zugreifen. So lassen sich zum Beispiel weitere mobile Apps für den Zugriff auf das Fahrzeug einrichten, etwa um es zu öffnen und einfach loszufahren.

Mobile Apps: Wer vom Smartphone aus über eine App sein Fahrzeug ferngesteuert öffnen will, sollte sich immer bewusst machen, dass er einen weiteren elektronischen Fahrzeugschlüssel hat. Wird die Anwendung nicht gesichert, gibt man mit dem Handy auch den Schlüssel aus der Hand. Diebe erhalten so einen möglichen Zugang zur Datenbankanwendung und könnten auch die PIN-Authentifizierung umgehen. Damit haben Angreifer leichten Zugang zur Fernsteuerung des Fahrzeugs.

Alle Auto-Tests der PC-WELT auf einen Blick

Updates: ConnectedDrive kann über Bluetooth aktualisiert werden. Der Besitzer kopiert dazu einfach die aktuelle Version von der BMW-Webseite auf einen USB-Stick. Die Daten auf dem Stick sind weder signiert noch verschlüsselt, und enthalten zudem zahlreiche Angaben über die im Fahrzeug laufenden Systeme. Mögliche Angreifer könnten hier über entsprechende Manipulationen auch Schadprogramme einschleusen.

Datenverbindung: Einige Funktionen lassen sich mit Hilfe von SMS-Nachrichten an die im Fahrzeug befindliche SIM-Karte steuern. Abhängig vom gewählten Grad der Verschlüsselung könnten so Cyberkriminelle auch unautorisiert Befehle erteilen und im schlimmsten Fall die Steuerung komplett übernehmen.

Update I, 14:35 Uhr: Stellungnahme von BMW (im vollen Wortlaut zitiert):

"Für BMW steht die Sicherheit seiner Kunden an oberster Stelle. Deshalb führen wir regelmäßig Tests durch und gehen auch allen an uns herangetragenen Hinweisen nach, um unsere Systeme laufend weiter zu entwickeln und stetig zu verbessern. Im Rahmen der Neuausrichtung von ConnectedDrive wurden beispielsweise bereits folgende Maßnahmen umgesetzt und werden nun sukzessive weltweit ausgerollt:
 
* Stärkere Passwort-Policy fordert die Eingabe längerer Passworte (8 Zeichen) sowie alphanumerische Kombinationen

* Der Passwort-Reset-Mechanismus sendet einen Reset-Link an die hinterlegte Email-Adresse; es findet kein SMS-Versand von temporären Reset-Passworten mehr statt

* Der Kunde kann seinen Nutzernamen frei wählen, es wird keine Vorname.Nachname Kombination benötigt
 
Die in der Studie gemachten Feststellungen geben nur ein sehr unvollständiges Bild wieder und entsprechen teilweise auch nicht der Realität. Wir kommentieren diese im Einzelnen wie folgt (Anm. d. Red.: Die englischen Zitate, kursiv markiert, stammen laut BMW aus der Studie. Uns lag die Originalstudie allerdings nicht auf Englisch, sondern nur auf Spanisch vor. Die Studie ist ausschließlich in spanischer Sprache erschienen. BMW hat den spanischen Originaltext ins Englische übersetzen lassen):

The website mybmw offers no second factor authentication. This seems specially important as in case of an attacker obtaining the credentials of an user he would get some personal information and information about the car.
BMW: Auf der mybmw Website sind keine Fernfunktionen möglich. Kundeninformationen sind üblicherweise mit Username und Passwort geschützt.

These stolen credentials could be used to locally install the mybmwremote app in a smartphone and, in case of remote services being enabled, manipulate them remotely. This has some limitations because of the security range, but still is dangerous.
BMW: Die App fragt als zweiten Authentifizierungsfaktor bei der ersten Anmeldung ein hinterlegtes geheimes Wissen ab. Der reine Besitz von Name und Passwort reicht nicht aus, um die App in Betrieb zu nehmen.

This basically makes the mobile phone an equivalent to the car keys for anyone with remote services activated. The pin code seems possible to bypass in the case of the app for android, where there is a field in the database storing the number of retries for the pin code and whether it should be activated or not. Manipulating it it would be possible to bypass it. Apparently the data in this android database has no encryption. It has in the iphone app, but still it is possible to get the username (which is an email address) of the real user in one of the files stored in clear. This might lead to social engineering attacks of any kind.
BMW: Die Remote App ist nicht äquivalent zu einem Fahrzeug-Schlüssel. Man kann damit zwar nach Autorisierung ein Fahrzeug öffnen, jedoch ist der Motorstart mit der Remote App nicht möglich. Auch kann das Fahrzeug nur lokalisiert werden, wenn der Dieb sich in 1,5 km Umkreis um das Fahrzeug befindet.

Also the app stores some details as an email address, supposedly for managing remote services. If this is the case and it would be possible to tamper this data somehow this could be a security issue.
BMW: Diese Daten sind nur verfügbar, wenn der Angreifer sowohl physischen Zugriff auf das Telefon hat als auch über System- oder Programmier-Know-how verfügt.

The software update for the blueetooth driver provided by bmw.com is a simple RPM package. It could be easily opened and reversed, providing internal information of the operating system running in the infotainment system, databases used, comments on the code, etc. Beyond the information leack, it is not signed, so apparently anyone could create custom code to run during the update. BMW: Das stimmt so nicht. Die RPM-Pakete sind, genauso wie die SMS-Nachrichten, in signierte Transportcontainer verpackt. Das Einspielen von veränderten Codes im Fahrzeug ist nicht möglich.

Some of the communication with the car seems to be managed by SMS messages. These messages can be sniffed and spoofed depending on the provider and country. We don´t know if there is any additional security mechanism to avoid an attacker spoofing messages as sent from BMW.
BMW: Die SMS sind verschlüsselt und signiert. Die Befehle zur Türöffnung werden auch nicht per SMS, sondern per TCP/IP verschickt – ebenfalls verschlüsselt und signiert. Zudem kann bei diesen Fahrzeugen nur das BMW Backend SMS Nachrichten an die Fahrzeuge schicken, eine SMS anderer Absender wird schon im Mobilfunknetz geblockt. Selbstverständlich gibt es einen zusätzlichen Schutzmechanismus. Dieser ist sogar öffentlich unter http://ngtp.org dokumentiert."

Ende des Zitats.

Update II, 17:25 Uhr: Warum ausgerechnet BMW?

BMW hat sich laut Kaspersky im Rahmen der Studie als einziger Automobil-Hersteller als kooperativer Partner herausgestellt. ConnectedDrive von BMW ist nach Ansicht der Kaspersky-Experten eine sehr ausgereifte Lösung.

Weil nur BMW auf alle Mailanfragen von Kaspersky geantwortet und ausreichend Dokumentationsmaterial zur Verfügung gestellt hat, entschlossen sich die Sicherheitsexperten ihre Hinweise zu potenziellen Sicherheitsrisiken bei vernetzten Autos am Beispiel ConnectedDrive von BMW zu demonstrieren. Weil alle anderen Hersteller eben die Mitarbeit verweigert haben. Doch diese Hinweise sind eher allgemein zu verstehen und können auch auf die Infotainmentsysteme anderer Hersteller übertragen werden. Kaspersky will keinesfalls den Eindruck erwecken, dass ausgerechnet das Infotainmentsystem von BMW besonders unsicher sei.

0 Kommentare zu diesem Artikel
1967657