Das Unternehmen Pen Test Partners setzte seine Forscher an die Überprüfung von hochwertigen Auto-Alarmsystemen. Grund war ein Werbeslogan, der ein Auto-Alarmsystem als „unknackbar“ bewarb. Was die Forscher bei einem Penetrationstest dann fanden, war sicherheitstechnisch äußerst besorgniserregend. Untersucht wurden die nachträglich einbaubaren Alarmsysteme der Marke Viper (Vertrieben unter dem Namen Clifford in Großbritannien) und von Pandora. Die als hochwertig gepriesenen und entsprechend teuer verkauften Auto-Alarmsysteme werden weltweit in mehr als 3 Millionen Autos installiert. Viele Kunden lassen diese Alarmsysteme nachträglich einbauen, um ihre schlüssellosen teuren Boliden gegen Schlüsselstörangriffe zu schützen. Und nichts ahnend, wie es tatsächlich um die Sicherheit dieser Alarmsysteme steht, sind viele Kunden auf diese Werbung hereingefallen.

Die Forscher fanden heraus, dass die beiden Alarmsysteme sich auf vielfältige Weise manipulieren ließen. Beispielsweise hätten Hacker den Motor während der Fahrt abstellen oder den Tempomat manipulieren können, die Insassen überfallen, das Fahrzeug aufschließen, stehlen oder einfach den Alarm deaktivieren können. Fahrzeuge hätten in Echtzeit auch geo-lokalisiert werden können. Dazu könnten der Fahrzeugtyp und die Halterdaten abgerufen werden. Auch die Wegfahrsperre konnten entsperrt und die Insassen über das Mikrofon sogar abgehört werden. Ganz schön viele Schwachstellen für etwa 4.500 Euro!

Bei ihren Tests nutzten die Forscher Schwachstellen in den Alarm-APIs aus, um die zugehörigen App-Konten zu kontrollieren. Um das zu bewerkstelligen, änderten sie das Kennwort und die registrierte E-Mail-Adresse eines Viper Smart Start-Benutzerkontos. Das gelang ihnen über ein POST-Request, das an die API gesandt wurde. Im Zuge dessen wurde die E-Mail-Anschrift des eigentlichen Benutzers überschrieben. Damit hatten sie dann vollständige Kontrolle über die App und das darüber verknüpfte Fahrzeug.

Chris Pritchard, einer der Sicherheitsberater sagte wie einfach es dann für ihn gewesen war. Er hätte auf dem System nachschauen können und sich irgendein Fahrzeug in seiner Nähe auswählen können. Dann hätte er nur hingehen müssen, es starten und unbehelligt wegfahren können.

Professor Alan Woodward von der Universität Surrey sieht die Forscher derzeit als die Einzigen, die Hersteller zur Verantwortung ziehen würden. Ein Grund dafür sei, laut Ansicht des Professors, da es zum allgemeinen Trend geworden wäre, das „Frontend“ der Apps aufzuhübschen. Dabei geriete allerdings das „Backend“ ins Hintertreffen und mache die Software offen für Sicherheitsmängel.

Die beiden Anbieter wurden infolgedessen kontaktiert vor der Veröffentlichung der Schwachstellen. Alle Anbieter erkannten die gefundenen Probleme an und leiteten sofortige Fixes ein.

Siehe auch:

• BMW behebt Sicherheitslücken bei 2.2 Millionen Autos
• Londoner Polizei verzeichnet mehr Elektronik-basierte Autodiebstähle
• Autos von Tesla von Hackern geknackt
• Jeep Cherokee gehackt, Alptraum für Fahrer und Chrysler

Artikel von pentestpartners.com, 08.03.2019: Gone in six seconds? Exploiting car alarms
Artikel von theregister.co.uk, 08.03.2019: No guns or lockpicks needed to nick modern cars if they’re fitted with hackable ’smart‘ alarms
Artikel von bbc.com, 08.03.2019: Security holes found in big brand car alarms

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0