Mitglied werden
Kontakt
Login
Warenkorb

Remote-Apps für Fahrzeuge im Vergleich



Remote-Apps für Fahrzeuge liegen im Trend. Dank ihnen können auf Smartphones und Tablets umfangreiche, sogenannt informative Fahrzeugdaten wie Kilometerstand, Tankfüllstand, Serviceintervalle, Reifendruck usw. in Echtzeit ausgelesen werden. Mit solchen Applikationen kann jedoch auch steuernd auf das Fahrzeug zugegriffen werden. Dazu gehören unter anderem das Ver- und Entriegeln des Fahrzeuges und das Schließen und Öffnen der Fenster. Solche Funktionen sind zwar komfortabel, können jedoch Kriminelle auf den Plan rufen. Die IT-Sicherheit ist somit entscheidend. Der TCS und seine Partnerclubs unterzogen daher 3 Remote-Apps einem sogenannten Penetrationstest.

Remote-Apps für Fahrzeuge – Wie sicher sind sie?

Die 3 untersuchten Apps von BMW, Renault und VW waren insgesamt sicher nutzbar, dennoch haben sich einige Schwachstellen manifestiert. Das zeigt klar, dass die Hersteller weiter am Thema IT-Sicherheit arbeiten müssen. Mit steigendem Funktionsumfang der digitalen Dienste werden auch die Anforderungen an die Sicherheitsstrukturen größer, wodurch das Thema IT-Sicherheit zukünftig noch mehr als bisher in den Fokus rücken dürfte.

Alle 3 Apps zeigen verschiedene Schwachstellen

Unverschlüsselte Datenbank

Renault My Z.E. speichert sensible Daten in einer unverschlüsselten Datenbank auf dem Smartphone. Dies ermöglicht Angreifern unter bestimmten Bedingungen, Daten wie zum Beispiel die Fahrzeug-Identifizierungsnummer (FIN) und einen Aktivierungscode auszulesen, mit denen der Angreifer das Fahrzeug auf sich registrieren kann.

Fehlendes Zertifikatspinning

Zusätzlich lässt sich die Verbindung zwischen Renault My Z.E. sowie VW Car-Net und der jeweiligen Cloud unter bestimmten Umständen abhören und verändern. Dies wird einem Angreifer vor allem dann erleichtert, wenn bei dem Gerät des Benutzers bestimmte Sicherheitsfunktionen deaktiviert sind. 

Anmeldeinformationen in der URL

Die BMW Connected App kommuniziert mit mehreren Endpunkten in der Cloud. Damit sich der Benutzer nur einmal in der App anmelden muss, werden die Anmeldeinformationen zuerst umgewandelt. Leider wurde eine unsichere Methode für die Übermittlung dieser umgewandelten Anmeldedaten gewählt, sodass ein Account von einem Angreifer unter Umständen übernommen werden kann oder auch sensitive Informationen in den Protokolldateien des Anbieters gespeichert werden, die dort von administrativen Benutzern eingesehen werden können.

Schwache Passwortrichtlinie

Des Weiteren ist in der BMW Connected App eine schwache Passwortrichtlinie implementiert. Die Passwortlänge ist auf eine Mindestlänge von acht Zeichen beschränkt und limitiert zusätzlich die Menge der Sonderzeichen. Dies minimiert die mögliche Stärke des Passwortes, wodurch ein Angreifer leichter Passwörter durch Ausprobieren (sog. Bruteforcing) erraten kann. Auch einfache Passwörter wie zum Beispiel «abcd1234» sind erlaubt. BMW sperrt allerdings nach wenigen erfolglosen Anmeldeversuchen das Benutzerkonto, bis dieses per Mail-Link wieder freigegeben wird.

Fehlende Sitzungsbeendung

Alle 3 Apps haben gemeinsam, dass nach einem Logout die Sitzung nicht richtig beendet wird. So kann ein Benutzer einen erfolgreichen Angreifer nicht einfach aussperren.

Empfehlungen

  • Es sollte die Möglichkeit geben, die Datenübertragung im Fahrzeug komplett zu deaktivieren.
  • Die durch den Hersteller gesammelten Daten sollten für den Fahrzeugbesitzer frei einsehbar sein.
  • Manche Funktionen, wie die Betätigung der Hupe, sollten aus Sicherheitsgründen während der Fahrt deaktiviert werden.
  • Es braucht strengere Passwortrichtlinien.
  • Die IT Sicherheitskriterien müssen aktuellen Sicherheitsstandards genügen, idealerweise mit neutralem Nachweis (z.B. Common Criteria).

Tipps für den Konsumenten

  • Nicht nur zwischen den Herstellern, auch zwischen den einzelnen Modellen und Ausstattungsvarianten gibt es große Unterschiede im Funktionsumfang der Remote-Dienste. Als Käufer ist es daher immer nötig, die tatsächlich unterstützten Funktionen im Einzelfall zu prüfen.
  • Es sollten möglichst sichere Passwörter verwendet werden - bestehend aus Klein- Großbuchstaben, Zahlen, Sonderzeichen und einer Mindestlänge von 12 Zeichen.

Alle Testergebnisse im Überblick

Mehr zum Thema

Share Funktionen:
durcken E-Mail Facebook Google + Twitter

Das könnte Sie auch interessieren

Kontrollsysteme für Reifendruck im Test

Kontrollsysteme für Reifendruck im Test

Der TCS hat die Zuverlässigkeit von Reifendruck-Kontrollsystemen unter die Lupe genommen.

Mehr erfahren
Falsch getankt - was tun?

Falsch getankt - was tun?

Handeln Sie sofort, wenn Sie aus Versehen Benzin statt Diesel getankt haben.

Mehr erfahren
Kinder sichern im Auto: Wo gilt welche Regel?

Kinder sichern im Auto: Wo gilt welche Regel?

Für die Autofahrt gilt es, Kinder richtig zu sichern. Doch gelten im Ausland dieselben Regeln wie bei uns?

Mehr erfahren

Angebote des TCS

Der TCS Privatrechtsschutz 2016

Der TCS Privatrechtsschutz 2016

2016 lanciert der TCS einen neuen Privatrechtsschutz, um die Erwartungen seiner Mitglieder noch besser zu erfüllen und den

Mehr erfahren
20% Einführungsrabatt
TCS Mitgliedschaft Familie: Auch ohne Fahrzeug

TCS Mitgliedschaft auch für Leute ohne Fahrzeug

Sie haben kein Auto und brauchen keine Pannenhilfe? Auch dann lohnt es sich.

ab CHF 31.00 / Jahr
Jetzt kaufen
Mehr erfahren
 
Newsletter
Anmeldung
Social Media
Touring Magazin
Aktuelle Ausgabe
Camping
Alles rund um Camping
Apps
TCS App
Einfach mobil
Neue Produkte & Jubiläen
© 2018 Touring Club Schweiz Benutzungsbedingungen - rechtliche Informationen Datenschutz und Datensicherheit
 
Routenplaner
Verkehrsinfo
Meine Sektion
Bitte haben Sie einen Moment Geduld
Wir optimieren gerade unsere Website, und es kann zu längeren Ladezeiten kommen.