Remote-Apps – mit dem Handy das Auto finden und öffnen

Sogenannte Remote-Apps zur Fernsteuerung von Fahrzeug-Funktionen werden heute von allen führenden Herstellern angeboten. Dazu die wichtigsten Infos.
Sie helfen zum Beispiel, das eigene Auto wiederzufinden
Autofahrende sollten sich mit den neuen Funktionen vertraut machen
Der ADAC fordert von den Herstellern strengere Passwortrichtlinien
Viele Fahrzeughersteller bieten Remote-Apps mit nützlichen Anwendungsmöglichkeiten an. Die Fernsteuerungsfunktion ist dabei teilweise an Ausstattungspakete gebunden oder als Einzelfunktion wählbar. Auch in der Angebotsbreite unterscheiden sich die Apps zum Teil erheblich. Selbst in der Golf-Klasse sind solche Angebote inzwischen verbreitet.
Das Auto per Handy wiederfinden

Ein Beispiel: Sie fahren zum Skilift, an den Badesee oder zum Großeinkauf und landen erst einmal auf einem riesigen Parkplatz. Schnell das Auto abgestellt, in den Schnee oder zum Shoppen, und nach ein paar Stunden zurück zum Parkplatz. Angesichts der vollen Reihen stellt sich dort die Frage: Wo genau steht der Wagen? Dank der GPS-gestützten App ist er schnell und metergenau wiederzufinden.
Diese Funktion von Remote-Apps ist rein informativ. Dabei geht es um Fahrzeuginformationen wie Standort, Restreichweite oder Inspektionsintervalle, die in der App angezeigt werden. Hier ist kein Eingriff möglich.
Das Fahrzeug per App öffnen
Steuernd dagegen sind Funktionen wie die Verriegelung von Türen und Fenstern, die Ladedauer oder die Standheizung. Außerdem kann der Besitzer teilweise Dritten einen zeitlich beschränkten Zugang zur Nutzung des Autos gewähren. Diese Funktionen werden über das Smartphone angewählt und gesteuert.
IT-Sicherheit von Remote-Apps

Zentraler Punkt einer 2017 von der ERNW Enno Rey Netzwerke GmbH im Auftrag des ADAC durchgeführten Untersuchung war die IT-Sicherheit. Denn Remote-Apps rücken zunehmend ins Visier versierter Angreifer. Gelänge es Autodieben etwa, Benutzerkonten zu übernehmen, wäre nicht nur eine exakte Ortung, sondern auch eine direkte Entriegelung des Fahrzeugs möglich.
Stichprobenartig wurden drei Android-Apps in einem sogenannten Penetrationstest einer statischen, dynamischen und einer Netzwerk-Analyse unterzogen:
BMW Connected (Version 3.1.1.3078)
Renault My Z.E. (Version 1.0.3.)
VW Car-Net (Version 4.3.4.)
Die Sicherheit wurde bei allen drei Apps in den meisten Bereichen eingehalten. Dennoch gab es unter anderem folgende Mängel:
Die Renault-App speicherte sensible Daten in einer unverschlüsselten Datenbank direkt auf dem Smartphone. Nutzerdaten können dadurch bei Angriffen manipuliert werden.
Durch Ausnutzung einer weiteren Sicherheitslücke könnten versierte Angreifer hier, ebenso wie bei der VW-Car-Net-App, den Datenverkehr zur Cloud lesen und verändern.
Die BMW-Connected App übermittelte die Anmeldeinformationen über eine unsichere Methode und verlangte ein schwaches, einfach zu überwindendes Passwort.
Alle drei Remote-Apps beenden außerdem nach einem Log-out die Sitzung nicht korrekt. Deshalb kann ein Angriff von außen durch den Nutzer nicht unterbunden werden.
Fazit
Es wurde bei keiner der drei Apps eine kritische Sicherheitslücke gefunden, das Risiko der festgestellten Mängel ist als „mittel“ einzuschätzen. Im Extremfall können diese Mängel allerdings zu einem Fremdzugriff auf das Benutzerkonto und zu einer Steuerung aller Remote-Funktionen führen.
Die Hersteller BMW, Renault und Volkswagen haben die Schwachstellen bestätigt und Verbesserungen angekündigt.
Forderungen des ADAC
Die Hersteller sollten strengere Passwortrichtlinien implementieren.
Sie sollten dafür sorgen, dass bestimmte Funktionen in der App aus Sicherheitsgründen während der Fahrt deaktiviert werden.
Die durch den Hersteller gesammelten Daten sollten für den Fahrzeugbesitzer frei einsehbar sein.
Eine Deaktivierung der Datenübertragung im Fahrzeug muss jederzeit möglich sein.
Konzeption, Entwicklung und Umsetzung von Remote-Apps durch den Hersteller müssen nach aktuellen IT-Sicherheitsrichtlinien erfolgen.