Der Umgang der Fahrer mit ihren Zugangsdaten, mobile Apps, Updates der Software und die Datenverbindung im Fahrzeug. Die Studie wurde von IAB Spain durchgeführt, einem Zusammenschluss führender Agenturen für Marketing und digitale Medien in Spanien. Partner waren neben Kaspersky Lab auch Applicantes und Motor.com. Die Studie ist die erste ihrer Art und gibt einen umfassenden Überblick des spanischen Markts für vernetzte Fahrzeuge. 21 Modelle von 15 verschiedenen Herstellern wurden im Hinblick auf Geschäftsmodelle, führende Apps und zukünftige Trends wie Konnektivität und IT-Sicherheit untersucht.
Kaspersky Lab konnte im Rahmen der Analyse von ConnectedDrive vier unterschiedliche potenzielle Angriffsvektoren von vernetzten Fahrzeugen ermitteln:
Zugangsdaten des Systems: Mit bekannten Methoden wie Phishing, Keylogging und Social Engineering könnten Cyberkriminelle die Zugangsdaten zur BMW-Webseite stehlen und damit unautorisiert auf Anwenderinformationen zugreifen. So lassen sich zum Beispiel weitere mobile Apps für den Zugriff auf das Fahrzeug einrichten, etwa um es zu öffnen und einfach loszufahren.
Mobile Apps: Wer vom Smartphone aus über eine App sein Fahrzeug ferngesteuert öffnen will, sollte sich immer bewusst machen, dass er einen weiteren elektronischen Fahrzeugschlüssel hat. Wird die Anwendung nicht gesichert, gibt man mit dem Handy auch den Schlüssel aus der Hand. Diebe erhalten so einen möglichen Zugang zur Datenbankanwendung und könnten auch die PIN-Authentifizierung umgehen. Damit haben Angreifer leichten Zugang zur Fernsteuerung des Fahrzeugs.
Updates: ConnectedDrive kann über Bluetooth aktualisiert werden. Der Besitzer kopiert dazu einfach die aktuelle Version von der BMW-Webseite auf einen USB-Stick. Die Daten auf dem Stick sind weder signiert noch verschlüsselt, und enthalten zudem zahlreiche Angaben über die im Fahrzeug laufenden Systeme. Mögliche Angreifer könnten hier über entsprechende Manipulationen auch Schadprogramme einschleusen.
Datenverbindung: Einige Funktionen lassen sich mit Hilfe von SMS-Nachrichten an die im Fahrzeug befindliche SIM-Karte steuern. Abhängig vom gewählten Grad der Verschlüsselung könnten so Cyberkriminelle auch unautorisiert Befehle erteilen und im schlimmsten Fall die Steuerung komplett übernehmen.
Weitere Ergebnisse der Studie zu den Themen Internetverbindung und führende Apps in der spanischen Automobilindustrie sind:
• Die existierende Software-Landschaft bei Betriebssystemen, Verbindungsarten und Apps ist stark fragmentiert.
• Bieten Hersteller kostenfreie Angebote, sind diese oft zeitlich begrenzt.
• Viele Online-Dienste benötigen 3G-Netze, stehen also nicht flächendeckend zur Verfügung.
• Der Zugriff auf Online-Dienste kann für die Nutzer mit Zusatzkosten verbunden sein.
• Die meisten Modelle verfügen auch über eine Sprachsteuerung und damit eine der sichersten Steuerungsarten.
Die vollständige Studie ist in spanischer Sprache verfügbar unter: www.iabspain.net/wp-content/uploads/downloads/2014/07/Informe-coches-conectados-2014.pdf
Kaspersky Lab konnte im Rahmen der Analyse von ConnectedDrive vier unterschiedliche potenzielle Angriffsvektoren von vernetzten Fahrzeugen ermitteln:
Zugangsdaten des Systems: Mit bekannten Methoden wie Phishing, Keylogging und Social Engineering könnten Cyberkriminelle die Zugangsdaten zur BMW-Webseite stehlen und damit unautorisiert auf Anwenderinformationen zugreifen. So lassen sich zum Beispiel weitere mobile Apps für den Zugriff auf das Fahrzeug einrichten, etwa um es zu öffnen und einfach loszufahren.
Mobile Apps: Wer vom Smartphone aus über eine App sein Fahrzeug ferngesteuert öffnen will, sollte sich immer bewusst machen, dass er einen weiteren elektronischen Fahrzeugschlüssel hat. Wird die Anwendung nicht gesichert, gibt man mit dem Handy auch den Schlüssel aus der Hand. Diebe erhalten so einen möglichen Zugang zur Datenbankanwendung und könnten auch die PIN-Authentifizierung umgehen. Damit haben Angreifer leichten Zugang zur Fernsteuerung des Fahrzeugs.
Updates: ConnectedDrive kann über Bluetooth aktualisiert werden. Der Besitzer kopiert dazu einfach die aktuelle Version von der BMW-Webseite auf einen USB-Stick. Die Daten auf dem Stick sind weder signiert noch verschlüsselt, und enthalten zudem zahlreiche Angaben über die im Fahrzeug laufenden Systeme. Mögliche Angreifer könnten hier über entsprechende Manipulationen auch Schadprogramme einschleusen.
Datenverbindung: Einige Funktionen lassen sich mit Hilfe von SMS-Nachrichten an die im Fahrzeug befindliche SIM-Karte steuern. Abhängig vom gewählten Grad der Verschlüsselung könnten so Cyberkriminelle auch unautorisiert Befehle erteilen und im schlimmsten Fall die Steuerung komplett übernehmen.
Weitere Ergebnisse der Studie zu den Themen Internetverbindung und führende Apps in der spanischen Automobilindustrie sind:
• Die existierende Software-Landschaft bei Betriebssystemen, Verbindungsarten und Apps ist stark fragmentiert.
• Bieten Hersteller kostenfreie Angebote, sind diese oft zeitlich begrenzt.
• Viele Online-Dienste benötigen 3G-Netze, stehen also nicht flächendeckend zur Verfügung.
• Der Zugriff auf Online-Dienste kann für die Nutzer mit Zusatzkosten verbunden sein.
• Die meisten Modelle verfügen auch über eine Sprachsteuerung und damit eine der sichersten Steuerungsarten.
Die vollständige Studie ist in spanischer Sprache verfügbar unter: www.iabspain.net/wp-content/uploads/downloads/2014/07/Informe-coches-conectados-2014.pdf
