29.11.2016 Analyse von Fahrzeug-Apps

Die Nachfrage nach Entertainment bzw. Zugang zum Internet macht auch vor dem Automotive-Sektor nicht halt. Die meisten großen Auto-Hersteller bieten deswegen mittlerweile mobile Applikationen an, die es erlauben mit dem Fahrzeug zu interagieren. 

Diese mobilen Begleitapplikationen dienen primär als Erweiterung zu bestehenden System, Hilfestellung zum Fahrzeug oder als zusätzlicher Informationsfaktor. So erlauben sie es beispielsweise Zustände von Fahrzeugen, wie den Ladezustand der Batterie, die aktuelle Tankfüllung oder den Kilometerstand auszulesen, sowie das Vehikel zu kontrollieren, dieses aus der Ferne über das Internet zu entriegeln, den Motor zu starten oder die Klimaanlage zu steuern.

Durch die zur Verfügung gestellte Funktionalität stellen mobile Anwendungen im Automotive-Sektor aber nicht nur Gewinn dar, sondern können durch unsachgemäßer Verwendung von sicheren Kommunikationstechnologien, zu undefinierten Verhalten am Fahrzeug, bis hin zur ungewollten Kontrolle von außen oder Dritten führen.

1. Smart-Vehikel

Ein „Smart-Vehikel“ bezeichnet im Allgemeinen ein Fahrzeug, welches durch Kombination von verschiedenen Kommunikationstechnologien, Benutzerinnen und Benutzern eine Vielzahl an Informationen oder Funktionalität zur Verfügung stellt. Ziel ist es, den Komfort, die Sicherheit oder die Benutzerfreundlichkeit zu steigern. Dabei kommen mehrere Systeme (z. B. Kommunikation, Navigation, Assistenz, Infotainment, Sicherheit) zum Einsatz. In Kombination mit Smartphones, respektive mobilen Anwendungen ergeben sich durch diese Anwendungsfälle neue Möglichkeiten. Dabei werden Apps verwendet, um einerseits Informationen über das Fahrzeug abzurufen, andererseits Kommandos an dieses zu schicken.

Im Grunde gibt es je nach Applikation und Hersteller verschiedene Verbindungstypen (Bluetooth/USB, WLAN, Internet) und in Folge dessen unterschiedliche verfügbare Optionen. Als Beispiel sei hier die Remote Steuerung von Fahrzeugen genannt. Dabei werden Befehle an das Fahrzeug (meist über das Internet) gesendet ohne dass sich die Benutzerin und der Benutzer in dessen unmittelbarer Nähe befinden muss. Außerdem setzen Hersteller auf USB oder Bluetooth-Verbindungen, um Funktionen zu nutzen, die meist nur unmittelbar vor oder während dem Fahrbetrieb sinnvoll erscheinen, und eine Präsenz der Insassen voraussetzt. Eine mögliche Steuerung der Musikeinheit findet deswegen meist über diese „In-Vehicle-Connectivity“ Verbindungen statt.

Diese zusätzliche Funktionalität verschafft zwar neue Möglichkeiten, ermöglicht aber auch neue Angriffsvektoren. Während bei Verbindungen über Bluetooth, USB oder WLAN meist eine (unmittelbare) physische Präsenz des Angreifers zum Fahrzeug vorausgesetzt wird, ermöglicht eine Verbindung über das Internet, weitreichende Angriffe, da sich der Angreifer nicht mehr in direkter Nähe zum Vehikel befinden muss. Komponenten, die ursprünglich isoliert und nicht für die Steuerung über das Internet konzipiert und entwickelt worden waren, müssen dementsprechend abgesichert werden.

2. Welche Risiken gibt es?

Die zunehmenden Technologisierung zieht neue Bedrohungen nach sich und zwingt Hersteller auch alternative Angriffsszenarien, wie zum Beispiel Angriffe aus dem Internet, in Betracht zu ziehen. Im Allgemeinen können diese Angriffe verschiedene Auswirkungen haben. Sie können die Privatsphäre der Benutzer verletzen und so zum Beispiel den Standort des Autos/Benutzers oder im Benutzerprofil hinterlegte Daten hervorbringen. Gleichzeitig können Angriffe Schäden am Fahrzeug hervorrufen oder den Verlust der Kontrolle über dieses bewirken. 

Gelingt es einem Angreifer, beispielsweise den Authentifizierungsmechanismus einer App zu umgehen, kann der volle Funktionsumfang der App genutzt werden. Während in den beobachteten Apps der Authentifizierungsprozess nicht ohne zusätzliche Angriffe umgangen werden konnte, wurde in einigen Fällen festgestellt, dass ein Denial of Service Angriff auf gewisse Authentifizierungsprozesse möglich ist. Bei manchen Herstellern genügt es, die FIN (Fahrzeug-Identifikations-Nummer) zu einem neuen Benutzerprofil hinzuzufügen um dieses aus einem bestehenden Account zu löschen und somit die Remote Funktionalität eines bereits registrierten Fahrzeuges zu deaktivieren. Folglich ist eine erneute Authentifizierung notwendig. Verlässt sich eine Benutzerin oder ein Benutzer auf die Remote Funktionalität (z. B. Entsperren des Fahrzeuges) via Smartphone, kann dieses ohne passenden Schlüssel nicht mehr verwendet werden. 

Ein weiterer Angriffsvektor ist die Handhabung von sensiblen Daten, wie zum Beispiel Passwörtern. Zwar bieten die meisten mobilen Betriebssysteme Möglichkeiten um diese geschützt abzulegen, allerdings sind meist zusätzliche Schutzmaßnahmen, wie Verschlüsselung notwendig, um den Schutz sensibler Daten bei Verlust des Gerätes, oder Modifikationen (z. B.root“) zu gewährleisten. In den untersuchten Applikationen wurde festgestellt, dass zum Teil keine Verschlüsselung zum Einsatz kommt oder Fehler bzw. falsche Designentscheidungen in der Umsetzung existieren. Diese Applikationen bietet dadurch praktisch keinen Schutz, da die abgelegten Daten folglich ohne Aufwand entschlüsselt werden können, und somit die von der App zur Verfügung gestellte Funktionalität, genutzt werden kann.

3. Fazit

In der von A-SIT durchgeführten Kurzstudie wird ausführlich auf die technischen Aspekte eingegangen, die für einen möglichen Angriff gegeben sein müssen. Außerdem werden analysierte Anwendungen im Detail diskutiert. Die erzielten Ergebnisse zeigen, dass in vielen Fällen Implementierungsfehler oder schwache Designentscheidungen negative Auswirkungen auf den Sicherheitslevel der Applikationen haben. Die Analyse zeigt außerdem, dass der Trend klar in Richtung Einsatz von Kommunikationstechnologien und mobilen Anwendungen im Fahrzeugbereich geht.

Die vollständige Studie ist auf https://demo.a-sit.at/analyse-von-fahrzeug-apps/ veröffentlicht (es werden darin jedoch keine konkreten Schwachstellen einzelner Applikationen aufgezeigt). 

Autor:

Dominik Ziegler ist seit 2016 an der TU Graz als Projektmitarbeiter im Bereich IT-Sicherheit tätig. Im Rahmen seiner Aktivitäten erstellt er für das Zentrum für Sichere Informationstechnologie - Austria (A-SIT) unter anderem Sicherheitsanalysen. A-SIT ist ein gemeinnütziger Verein, der den Gesetzgeber und Behörden bei der Informationssicherheit unterstützt. Mitglieder sind das Österreichische Bundesministerium für Finanzen, die Österreichische Nationalbank, die Bundesrechenzentrum GmbH und die TU Graz.

Datum der Veröffentlichung: 29.11.2016

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria