Ähnliche Funktionen, mittlere Sicherheitsrisiken

Zu den heute realisierten Funktionen zählen z.B. das Anzeigen der Position oder das Ver- und Entriegeln des Fahrzeuges. Die Abdeckung dieser durchaus sensiblen Bereiche führe zwar zu einer Verbesserung des Komforts, könnte aber unter Umständen durch Angreifer ausgenutzt werden. So wäre es denkbar, dass professionelle Fahrzeugdiebe eine eventuell vorhandene IT-Sicherheitslücke ausnutzen und gezielt Zugriff auf entsprechende Fahrzeuge erhalten.

Der ADAC untersuchte daher als Stichprobe drei Remote-Apps für Android-Smartphones. So mussten die Apps von BMW, VW sowie Renault in einem sogenannten Penetrationstest in einer statischen, dynamischen und Netzwerk-Analyse beweisen, ob sie sicher sind.

Die von einem Dienstleister durchgeführten Untersuchungen zeigen, dass die Sicherheit durchaus in den meisten Bereichen eingehalten wurde. Dennoch kann nicht komplett Entwarnung gegeben werden: Alle drei Apps zeigen verschiedene Schwachstellen, die als mittleres Risiko zu bewerten sind und im Extremfall zu einem Fremdzugriff auf das Benutzerkonto und Steuerung aller Remote-Funktionen führen können. 

Folgende Schwachstellen wurden im Rahmen der Untersuchung gefunden: 

Unverschlüsselte Datenbank

Renault My Z.E. speichert sensible Daten in einer unverschlüsselten Datenbank auf dem Smartphone. Dies ermöglicht Angreifern unter bestimmten Bedingungen, Daten wie zum Beispiel die Fahrzeug-Identifizierungsnummer (FIN) und einen Aktivierungscode auszulesen, mit denen der Angreifer das Fahrzeug auf sich registrieren kann. 

Fehlendes Zertifikatspinning

Zusätzlich lässt sich die Verbindung zwischen Renault My Z.E. sowie VW Car-Net und der jeweiligen Cloud unter bestimmten Umständen abhören und verändern. Dies wird einem Angreifer vor allem dann erleichtert, wenn bestimmte Sicherheitsfunktionen deaktiviert sind, d.h. bei Android ein sogenanntes Rooting durchgeführt wurde. 

Anmeldeinformationen in der URL

Die BMW Connected App kommuniziert mit mehreren Endpunkten in der Cloud. Damit sich der Benutzer nur einmal in der App anmelden muss, werden die Anmeldeinformationen zuerst umgewandelt. Leider wurde eine unsichere Methode für die Übermittlung dieser Anmeldedaten gewählt, sodass ein Account von einem Angreifer unter Umständen übernommen werden kann oder auch sensible Informationen in den Protokolldateien des Anbieters gespeichert werden, die dort eingesehen werden können. 

Schwache Passwortrichtlinie

Desweiteren ist in der BMW Connected App eine schwache Passwortrichtlinie implementiert. Die Passwortlänge wurde auf eine Mindestlänge von acht Zeichen beschränkt und limitiert zusätzlich die Menge der Sonderzeichen. Dies minimiert die mögliche Stärke des Passwortes, wodurch ein Angreifer leichter Passwörter durch Ausprobieren (sog. Bruteforcing) erraten kann. Auch einfache Passwörter wie zum Beispiel „abcd1234“ sind erlaubt. BMW sperrt allerdings nach wenigen erfolglosen Anmeldeversuchen das Benutzerkonto, bis dieses per Mail-Link wieder freigegeben wird. 

Fehlende Sitzungsbeendung

Alle drei Apps haben gemeinsam, dass nach einem Logout die Sitzung nicht richtig beendet wird. So kann ein Benutzer einen erfolgreichen Angreifer nicht einfach aussperren. Abschließend ist zu sagen, dass zwar keine kritischen Sicherheitslücken gefunden wurden, trotzdem alle Hersteller noch einen Nachbesserungsbedarf haben. Wichtig zu beachten ist, dass nur die mobilen Anwendungen getestet wurden und nicht die Systeme in der Cloud.

Die Möglichkeiten der Remote-Funktionen unterscheiden sich zwischen den Herstellern massiv. So bieten vor allem die deutschen Hersteller eine beachtliche Funktionsvielfalt. Die Einschränkungen bzgl. der Modellabhängigkeit sind hier tendenziell auch relativ gering; es sind die meisten Funktionen auch bei allen Fahrzeugmodellen verfügbar. Die französischen sowie asiatischen Hersteller verzichten hingegen größtenteils komplett auf derlei Funktionen. Auch gibt es häufig die generelle Einschränkung der Unterstützung nur für Elektrofahrzeuge wie es z.B. bei Renault mit dem Zoe der Fall ist. 

Um eine bessere Übersicht zu erlangen, ist es sinnvoll, die angebotenen Funktionen in zwei Hauptgruppen zu unterteilen:

• Informativ: Es werden Fahrzeuginformationen wie Standort, Restreichweite oder Inspektionsintervalle in der App angezeigt. Das Smartphone kann nicht steuernd eingreifen, sondern dient lediglich als Anzeigegerät.
• Steuernd: Über die App können Funktionen wie Verriegelung der Türen, Betätigen der Hupe oder Einschalten der Standheizung angewählt werden. 

Aufgrund des teilweise großen Funktionsumfangs rücken die Apps zunehmend auch ins Visier versierter Angreifer. Wäre es z.B. Autodieben möglich, Benutzerkonten zu übernehmen, ließen sich die entsprechenden Fahrzeuge nicht nur exakt orten, sondern auch direkt entriegeln. 

Aus diesem Grund wurden drei Remote-Apps exemplarisch einer tiefgehenden IT-Sicherheitsüberprüfung unterzogen. Der sogenannter Penetrationstest umfasste folgende Punkte:

• Durchführung umfassender Sicherheitsprüfungen
• Identifizierung von Schwachstellen
• Untersuchung & Bewertung der damit verbundenen Risiken
• Ermittlung möglicher Verbesserungsmaßnahmen
• Empfehlungen für die Umsetzung der Maßnahmen & Priorisierung

BMW Connected

Als Beispielfahrzeug wurde ein BMW i3 (Baujahr 2014) verwendet.

 

Renault My Z.E. 

Hier war es ein Renault Zoe (Baujahr 2015). 

 

VW Car-Net

Das zur Untersuchung verwendete Fahrzeug unterstützte die APP-Funktionen nicht, weshalb die App lediglich einer statischen sowie dynamischen Analyse unterzogen wurde. Es konnte zwar die prinzipielle Netzwerkkommunikation untersucht, aber keine konkreten Befehle über die App versendet bzw. Fahrzeuginformationen empfangen werden.

 

Unverschlüsselte Datenbank

Die App Renault My Z.E speichert Nutzerdaten in Datenbanken, die im Datenverzeichnis der App liegen. Diese Datenbanken liegen in unverschlüsselter Form vor. Da die vorliegende Version der App die Installation auf gerooteten Geräten zulässt, bietet sie Angriffsoberfläche für böswillige Apps.

Wenn es einem Angreifer gelingt, in die Sandbox der App einzudringen und Zugriff auf das Datenverzeichnis der App zu erhalten, können Nutzerdaten aus der Datenbank extrahiert bzw. auch manipuliert oder gelöscht werden.

Zu diesen Daten gehören u.a. der Activation Code sowie die VIN (Vehicle Identifier Number) des Wagens, die es einem Angreifer erlauben, das Fahrzeug auf sein eigenes Konto zu registrieren.

Bewertung:  Mittleres Risiko

Empfohlene Maßnahmen

Einige Sicherheitsmechanismen der App-Sandbox auf Android Systemen lassen sich insbesondere auf gerooteten Geräten je nach Versionsstand aufbrechen. Daher sollten Dateien und Datenbanken, die sensible Nutzerdaten enthalten, durch Verschlüsselung auf Applikationsebene gesichert werden, um Schutz vor böswilligen Apps oder auch im Falle des Verlusts des Gerätes zu bieten. 

Session Management

Preisgabe von Access- und Refresh-Token in der URL

Die BMW Connected App für Android überträgt das Access- und Refresh-Token des Nutzers zur Authentifizierung gegenüber einzelnen Backendsystemen als URL-Parameter innerhalb von GET-Requests.

Ein Angreifer könnte im Rahmen eines Cross-Site-Scripting (XSS) Angriffs (falls die entsprechende Schwachstelle vorhanden ist) die so übergebenen Token auslesen und die Session des Nutzers übernehmen. Desweiteren können Daten, die als Teil von GET-Requests übertragen werden, in Server- oder Debug-Logs der App selbst auftauchen.

Bewertung:  Mittleres Risiko

Empfohlene Maßnahmen

Session-Token, ob als Authorization Header oder Session-Cookie implementiert, sollten nicht als Teil von URLs in GET-Requests übertragen werden. Idealerweise sollten alle durch die App angesprochenen Backends den gleichen Authentifizierungs-Mechanismus verwenden.

 

Fehlende Session-Invalidierung bei Abmeldung

Bei Abmeldung aus den drei untersuchten Apps über die jeweiligen Menüeinträge wird die Session nicht serverseitig invalidiert. Für den Benutzer nicht ersichtlich, ist das Session-Token auf Serverseite weiterhin gültig. Loggt sich der Benutzer in der App erneut ein, wird das noch aktive Session-Token weitergenutzt.

Die Renault My Z.E. App schickt keine Abmeldungs-Requests bei der Abmeldung. BMW Connected und VW Car-Net schicken diese zwar, aber die Sessions werden auf Serverseite nicht invalidiert.

Wenn eine Session kompromittiert wird (z.B. wenn ein Angreifer Zugriff auf das Session-Token eines Benutzers durch einen Man-in-the-Middle-Angriff erhält), kann der Benutzer von seiner Seite aus nichts unternehmen, um den Angreifer auszusperren.

Bewertung: Mittleres Risiko

Empfohlene Maßnahmen

Es muss sichergestellt werden, dass eine Abmeldung des Nutzers innerhalb der App auch eine Abmeldung des Nutzers gegenüber dem jeweiligen Backend darstellt. Die Apps sollten das Backend über den Logout des Nutzers informieren und das Backend muss die entsprechenden Sessions invalidieren, so dass zur weiteren Nutzung der Apps ein erneuter Login notwendig ist.

Loggt sich der Nutzer erneut mit seinem Benutzernamen und Passwort ein, so sollten die dabei gesetzten Session Tokens ebenfalls neu erzeugt werden und nicht der vorangegangenen Session entsprechen.

Schwache Passwortrichtlinie

In der BMW Connected App wurde eine schwache Passwortrichtlinie identifiziert.

Die Passwortlänge ist auf eine Mindestlänge von acht Zeichen begrenzt und schränkt zusätzlich die Menge der Sonderzeichen ein. Dies minimiert die Stärke des Passwortes.

Darüber hinaus war es möglich, sehr schwache Passwörter zu wählen, wie z.B. "abcd1234". Derartige Passwörter lassen sich in frei verfügbaren Passwortlisten im Internet finden oder von Passwort-Generatoren erstellen. 

Bewertung:  Mittleres Risiko

Empfohlene Maßnahmen

Es sollte eine strengere Passwort-Richtlinie umgesetzt werden. 

Fehlendes Zertifikatspinning

Zertifikats- oder Public Key Pinning ist ein Mechanismus, der clientseitig implementiert wird, um SSL/TLS Man-in-the-Middle-Angriffe zu erschweren oder unmöglich zu machen. Dabei wird in der App bereits der Public Key oder ein Fingerprint des Zertifikats hinterlegt, welcher vom Server vor dem Aufbau der TLS Verbindung präsentiert wird. Schickt der Server ein anderes Zertifikat oder einen anderen Public Key, verweigert die App den Verbindungsaufbau und der Benutzer ist geschützt, selbst wenn das Android Betriebssystem dem Zertifikat grundsätzlich vertraut.

Bewertung:  Mittleres Risiko

Empfohlene Maßnahmen

Es wird empfohlen, überall wo es möglich ist, die Zertifikate auf Client-Seite zu überprüfen. Für den Fall einer Kompromittierung des Serverzertifikats sollte ein Fallback eingerichtet werden, um den Betriebsablauf nicht zu gefährden. Dazu kann auf ein zweites Zertifikat oder auf einen zweiten Public Key gepinnt werden.

Mit Abschluss der Studie wurden die Hersteller BMW, Renault und Volkswagen über die Durchführung einer Sicherheitsüberprüfung der jeweiligen App sowie deren fachliche Inhalte informiert. Alle drei Hersteller haben die gefundenen Schwachstellen bestätigt und Verbesserungen angekündigt. 

Die Untersuchungen wurden durch die Firma ERNW Enno Rey Netzwerke GmbH in Heidelberg (im Folgenden ERNW genannt) im Auftrag des ADAC durchgeführt.

Der ADAC stellte für die Untersuchungen BMW i3, Renault Zoe und VW Golf zur Verfügung. 

Im Rahmen des Penetrationstests wurden durch ERNW die drei offiziellen, durch die jeweiligen Hersteller vertriebenen Android Apps untersucht. Dabei handelte es sich um die Apps BMW Connected, Renault My Z.E. und VW Car-Net.

 

Prüfung der mobilen Applikation 

Aufgrund der erfahrungsgemäß besseren Sicherheitsstrukturen bei iOS als auch der größeren Verbreitung von Android, wurde ausschließlich die jeweilige Android-App geprüft. Die ERNW Prüfmethodik für Apps orientierte sich an der OWASP Mobile Top 10, war jedoch nicht darauf limitiert . Die Schwerpunkte und der Prüffokus dieser App lagen auf: 

 

• sichere lokale Verarbeitung und Übermittlung von Daten und Authentifizierungsinformationen (genutzt, um das Gerät am Backend zu identifizieren) 
• Isolation kritischer Informationen/Daten zu anderen installierten Apps 
• (Nicht-)Integration von Cloud-Diensten 
• Toleranz von Nutzerfehlverhalten 
• sichere Übertragung (Verschlüsselung) und Authentifizierung der Gegenstelle (User Backend)

Obwohl die im Folgenden beschriebene Methodik den Anschein von sequentiellen Schritten vermittelt, überschnitten sich Teile der Prüfung zeitlich. Die beschriebene Methodik wurde abhängig von der jeweils betrachteten Plattform mit unterschiedlichen Tools und über die spezifischen Schnittstellen durchgeführt. 

1. Statische Analyse 

Im Rahmen der statischen Analyse wurden alle Daten geprüft, welche die Applikation auf dem Endgerät speichert. Die Dateien wurden via SSH Zugriff extrahiert und je nach Format entschlüsselt und entpackt. 

Anschließend wurden die Dateien auf ihren Inhalt hin untersucht und versucht, kritische oder sensible Informationen zu extrahieren und zu modifizieren. 

Die statische Analyse wurde je nach Applikation in unterschiedlichen Applikations-Zuständen durchgeführt. Der Begriff Applikations-Zustände beschreibt in diesem Fall z.B. die frisch installierte Applikation im Gegensatz zu einer bereits initialisierten/personalisierten. 

Ziel der statischen Analyse ist eine Sicherheitsbewertung der Datenablage (inkl. Schlüsselspeicher), des Umgangs mit temporären Dateien und der Konfiguration der Applikation. 

2. Dynamische Analyse 

Im Rahmen der dynamischen Analyse (auch Laufzeitanalyse) wurde ein Debugger oder alternativ ein Mobile App Testing Tool an den Prozess der Applikation angehängt. Während der Prüfungen werden Variablen, Funktionen und Prozesse innerhalb der Applikation überwacht. Abhängig von vorhandener Funktionalität werden auf diesem Wege ebenfalls Daten verändert. 

Bestandteil der dynamischen Analyse war außerdem der Umgang mit der Oberfläche der Applikation. Direkt verfügbare Funktionen wurden hinsichtlich ihrer Robustheit und ihrer Sicherheitsmerkmale überprüft. 

Ziel der dynamischen Analyse ist eine Bewertung des Umgangs mit Daten zur Laufzeit, der Effektivität von Zugriffsbeschränkungen und der Validierung von Nutzereingaben. 

3. Netzwerk Analyse 

Im Rahmen der Netzwerk Analyse wurde initial die Proxy Einstellung genutzt und die Applikation wurde dazu gebracht, ihre Daten über einen Angriffs-Proxy zu leiten. Innerhalb dieses Proxys wurden verschlüsselte Datenverbindungen evaluiert und wenn möglich geöffnet. Anschließend wurden, je nach Applikation, Daten extrahiert und injiziert. 

Sofern die Applikation keine Daten über den Proxy Server leitete, wurde der gesamte Netzwerkverkehr des Endgeräts mit Routing-Befehlen über einen PC geleitet und an dieser Stelle untersucht. 

Über den direkten Eingriff in den Kommunikationsverkehr hinaus wurden alle Verbindungen von und zur Applikation aufgezeichnet und bewertet. 

Falls die Applikation eigene Netzwerkschnittstellen öffnet, z.B. Webserver, wurden diese von außen gescannt und mit modifizierten Anfragen auf Sicherheit und Robustheit geprüft. 

Hinweis: Die Netzwerkanalyse wurde nur bei der Software von BMW und Renault durchgeführt.

Grenzen der Untersuchung

Ziel der Untersuchung war ausschließlich die jeweilige offizielle Hersteller-App für das Android Betriebssystem in der zum Zeitpunkt der Untersuchung aktuellen Version. Das Ergebnis ist nicht für andere Versionsnummer oder Betriebssysteme übertragbar:

App-Name		Version
BMW Connected		3.1.1.3078
Renault My Z.E.		1.0.4
VW Car-Net		4.3.4

Nicht Teil der Untersuchungen waren die jeweiligen Backendsysteme beim Fahrzeughersteller (Server welche als Vermittler zwischen App und Fahrzeug dienen). Diese Limitierung geht aus entsprechenden gesetzlichen Beschränkungen für IT-Sicherheitsüberprüfungen hervor: Diese sind lediglich mit dem expliziten Einverständnis der Betreiber gesetzmäßig. Weiterhin war die Netzwerkanalyse nicht Bestandteil der Untersuchung des VW Golf, da das Fahrzeug nicht über entsprechende Funktionen verfügte.

• Es sollte die Möglichkeit geben, die Datenübertragung im Fahrzeug komplett zu deaktivieren 
• Die durch den Hersteller gesammelten Daten sollten für den Fahrzeugbesitzer frei einsehbar sein 
• Manche Funktionen, wie die Betätigung der Hupe per App, sollten aus Sicherheitsgründen während der Fahrt deaktiviert werden
• Der Hersteller sollte strenge Passwortrichtlinien für die Authentifizierung des Benutzers in der App fordern
• Die durch den Hersteller eingesetzten Apps müssen nach aktuellen IT-Sicherheitskriterien konzipiert und umgesetzt werden, idealerweise mit neutralem Nachweis, z. B. nach Common Criteria
• Nicht nur zwischen den Herstellern, auch zwischen den einzelnen Modellen und Ausstattungsvarianten gibt es große Unterschiede im Funktionsumfang der Remote-Dienste. Als Käufer ist es daher immer nötig, die tatsächlich unterstützten Funktionen im Einzelfall zu prüfen