Gebrauchte vernetzte Automobile lassen sich zu leicht stehlen

In Zukunft werden immer mehr Automobile in irgendeiner Weise mit dem Internet verbunden sein. Viele moderne Käufer lassen sich bei durch neuzeitliche Features (Entriegelung per App) mehr beeindrucken als durch die Performance des Autos. Warum sollte es in einer Welt, in der es für alles eine App gibt, auch anders sein?

Die steigende Vernetzung von neuen Automobilen führt zwangsläufig dazu, dass diese später zu „smarten“ Gebrauchtwagen werden. Und ich würde mir keine Gedanken darüber machen, wenn ich nicht davon überzeugt bin, dass es bereits Sicherheitsrisiken gibt.

Auf der RSA-Konferenz in Francisco letzte Woche brachte Charles Henderson (IBM) ein gutes Beispiel an. Er erklärte dem Publikum, dass es ihm selbst zwei Jahre nach der Zurückgabe seines alten Automobils noch möglich war, per Smartphone-App auf dieses zuzugreifen.


Trotz der De-Autorisierung aller Accounts, des Satellitenradios, des Garagenöffners, dem Resetten der Bluetooth-Verbindung und der Zurückgabe aller Auto-Schlüssel zum Zeitpunkt des Verkaufs war es Henderson möglich, Zugriff auf das alte Auto zu erlangen.

Durch die Smartphone-App konnte er das Fahrzeug beispielsweise Orten, die Klimaanlage regulieren, dem Navigationssystem eine neue Route befehlen und sogar die Hupe ferngesteuert auslösen. Am schwerwiegendsten war aber die Tatsache, dass Henderson sein altes Auto von überall auf der Welt aus hätte entriegeln können. Selbstverständlich war der IBM-Researcher daran nicht interessiert. Wäre Henderson ein Krimineller, könnte sich jeder gut ausmalen, wie einfach es wäre, das Automobil zu stehlen.

Gegenüber CNN verdeutlichte Henderson, dass der neue Besitzer des Fahrzeugs sich zu keinem Zeitpunkt bewusst war, einem potentiellen Risiko ausgesetzt gewesen zu sein:

„Smarte“ Automobile sind wirklich intelligent. Leider sind sie aber nicht clever genug, um ihren rechtmäßigen Eigentümer zu erkennen. Nirgendwo wird angezeigt, welche Personen Zugriff auf das Fahrzeug haben.“

Außerdem kann man sagen, dass Henderson mehr Aufwand als die meisten betrieb, um sich aus dem „Gedächtnis“ des Autos zu löschen. Offensichtlich reichte das nicht. Der IBM-Forscher stellte fest, dass ein Factory-Reset nicht ausreichte, um der Smartphone-App den Zugriff zu entziehen. Die relevanten Informationen befanden sich noch immer in einer Cloud und konnten ohne autorisierten Reset vom Fahrzeughersteller nicht gelöscht werden.

Einige denken vielleicht, dass dieser Fall eine Ausnahme ist. Tatsächlich konnte Henderson einen Zugriff alter Eigentümer auf weiterverkaufte Fahrzeuge aber bei insgesamt vier großen Herstellern feststellen.

Das Internet der (unsicheren) Dinge hat also wieder zugeschlagen. Offenbar versuchen die Automobil-Hersteller den Wünschen der Kunden so schnell wie möglich nachzukommen. Wirklich ausgereifte Sicherheitskonzepte kommen dabei leider zu kurz. Natürlich ist es ein Trade-Off für die Unternehmen – Ein Kampf um die besten Features und um Marktanteile.

Längerfristig profitieren die Hersteller allerdings von einer solideren Integration von Nutzer-Anwendungen in ihren Automobilen. Negative Presse schadet dem Ansehen und hemmt das Vertrauen in die Automobil-Unternehmen. Die Folge sind schwächere Absatzzahlen.

Autor Graham Cluley, We Live Security

Folgen Sie uns