Mike Kuketz
15. Mai 2019 | 09:41 Uhr

ADAC: Studie Fernsteuer-Apps fürs Auto 2018

2018 hat der ADAC mal einen Blick auf die Smartphone-Apps für die Fernsteuerung von Autos geworfen:

Immer mehr Autos lassen sich per Smartphone fernsteuern und überwachen. Der Besitzer kann abfragen, ob Türen und Fenster geschlossen sind, teilweise auch Tankfüllstand, Kilometerstand, nächsten Service, außerdem wo das Auto steht oder ob es ein bestimmtes Gebiet verlassen hat. […]

Interessant sind die Ergebnisse im Detail:

Anmeldeinformationen in der URL

Die BMW Connected App kommuniziert mit mehreren Endpunkten in der Cloud. Damit sich der Benutzer nur einmal in der App anmelden muss, werden die Anmeldeinformationen zuerst umgewandelt. Leider wurde eine unsichere Methode für die Übermittlung dieser Anmeldedaten gewählt, sodass ein Account von einem Angreifer unter Umständen übernommen werden kann oder auch sensible Informationen in den Protokolldateien des Anbieters gespeichert werden, die dort eingesehen werden können.

Übertragung der Anmeldeinformationen in der URL, also als GET-Parameter. Wie oft wird dieser Anfängerfehler eigentlich noch wiederholt?

Schwerwiegende Lücken wurden allerdings keine gefunden oder eventuell übersehen. Abgesehen vom Ergebnis macht mir eher eine andere Entwicklung sorgen: Die Schnittstelle des Fahrzeugs, mit der ich via App auf diverse Funktionen und Informationen zugreifen kann. Anstatt die Angriffsfläche gering zu halten, eröffnen diese unnötigen Komfortfunktionen einem Angreifer ganz neue Möglichkeiten. Vermutlich lässt sich dieser »Service« auch gar nicht komplett deaktivieren – geradeso, also ob man auf einem E-Mail-Server zusätzlich noch einen Webserver laufen hat, den man nicht abstellen kann.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
KeePass
21. Dezember 2020

KeePassXC: Auto-Type und Browser-Add-on im Alltag nutzen – Passwörter Teil1

Die Auto-Type-Funktion vereinfacht die Handhabung und Sicherheit von KeePassXC erheblich. Alternativ: KeePassXC-Browser-Add-on.
XPrivacy
23. September 2014

XPrivacy – Android ohne Google?! Teil6

Your phone your data - Mittels XPrivacy können wir die ungewollte und oftmals auch unfreiwillige Weitergaben unserer Daten verhindern
NetGuard
2. November 2017

NetGuard Firewall – Android unter Kontrolle Teil4

Mit der No-Root Firewall NetGuard lassen sich Tracking- und Werbeanbieter gezielt filtern.
F-Droid & AFWall+
22. Mai 2014

F-Droid und AFWall+ – Android ohne Google?! Teil4

Your phone your data - Den ungewollten Informationsabfluss von sensiblen Daten mit der AFWall+ verhindern
F-Droid
28. Juni 2017

F-Droid und App-Alternativen – Android unter Kontrolle Teil3

F-Droid ist ein verbraucherfreundlicher Android App-Store, in dem datenschutzfreundliche Apps angeboten werden.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.