Remote-Apps: Fernbedienung fürs Auto

Frau nutzt Remote App um ihr Auto zu öffnen
Mit Remote-Apps lassen sich Fahrzeugfunktionen über das Smartphone fernsteuern© iStock.com/iprogressman

So genannte Remote-Apps zur Fernsteuerung von Fahrzeug-Funktionen werden heute von allen führenden Herstellern angeboten. Dazu die wichtigsten Infos.

  • Sie helfen zum Beispiel, das eigene Auto wiederzufinden

  • Autofahrende sollten sich mit den neuen Funktionen vertraut machen

  • Der ADAC fordert von den Herstellern strengere Passwortrichtlinien

Viele Fahrzeughersteller bieten Remote-Apps mit sehr nützlichen Anwendungsmöglichkeiten an. Die Fernsteuerungsfunktion ist dabei teilweise an Ausstattungspakete gebunden oder als Einzelfunktion wählbar. Auch in der Angebotsbreite unterscheiden sich die Apps zum Teil erheblich. Selbst in der Golf-Klasse sind solche Angebote inzwischen verbreitet.

Was Remote-Apps können

In dieser Situation hilft eine Remote-App beim Wiederfinden des Autos © Shutterstock/Sharky Photography

Ein Beispiel: Sie fahren zum Skilift, an den Badesee oder zum Großeinkauf und landen erst einmal auf einem riesigen Parkplatz. Schnell das Auto abgestellt, in den Schnee oder zum Shoppen, und nach ein paar Stunden zurück zum Parkplatz. Angesichts der vollen Reihen stellt sich dort die Frage: Wo genau steht der Wagen? Dank der GPS-gestützten App ist er metergenau schnell wiederzufinden.

Die angebotenen Funktionen der Remote-Apps lassen sich in zwei Hauptgruppen unterteilen: Informativ sind Fahrzeuginformationen wie Standort, Restreichweite oder Inspektionsintervalle, die in der App angezeigt werden. Hier ist kein Eingriff möglich.
Steuernd dagegen sind Funktionen wie Tür-/Fensterverriegelung, Ladedauer oder Standheizung. Außerdem kann der Besitzer teilweise Dritten einen zeitlich beschränkten Zugang zur Nutzung des Autos gewähren. Diese Funktionen werden über das Smartphone angewählt und gesteuert.

IT-Sicherheit von Remote-Apps

Ein Dieb klaut ein Auto
Zum Autoknacken ist nicht unbedingt eine Brechstange erforderlich © iStock.com/Lorado

Zentraler Punkt einer 2017 von der ERNW Enno Rey Netzwerke GmbH im Auftrag des ADAC durchgeführten Untersuchung war die IT-Sicherheit. Denn Remote-Apps rücken zunehmend ins Visier versierter Angreifer. Gelänge es Autodieben etwa, Benutzerkonten zu übernehmen, wäre nicht nur eine exakte Ortung, sondern auch eine direkte Entriegelung des Fahrzeugs möglich.

Stichprobenartig wurden drei Android-Apps in einem sogenannten Penetrationstest einer statischen, dynamischen und einer Netzwerk-Analyse unterzogen:

  • BMW Connected (Version 3.1.1.3078)

  • Renault My Z.E. (Version 1.0.3.)

  • VW Car-Net (Version 4.3.4.)

Die Sicherheit wurde bei allen drei Apps in den meisten Bereichen eingehalten. Dennoch gab es unter anderem folgende Mängel:

Die Renault-App speicherte sensible Daten in einer unverschlüsselten Datenbank direkt auf dem Smartphone. Nutzerdaten können dadurch bei Angriffen manipuliert werden. Durch Ausnutzung einer weiteren Sicherheitslücke könnten versierte Angreifer hier, ebenso wie bei der VW-Car-Net-App, den Datenverkehr zur Cloud lesen und verändern.

Die BMW-Connected App übermittelte die Anmeldeinformationen über eine unsichere Methode und verlangte ein schwaches, einfach zu überwindendes Passwort.

Alle drei Remote-Apps beenden außerdem nach einem Log-out die Sitzung nicht korrekt. Deshalb kann ein Angriff von außen durch den Nutzer nicht unterbunden werden.

Fazit

Es wurde bei keiner der drei Apps eine kritische Sicherheitslücke gefunden, das Risiko der festgestellten Mängel ist als „mittel“ einzuschätzen. Im Extremfall können diese Mängel allerdings zu einem Fremdzugriff auf das Benutzerkonto und zu einer Steuerung aller Remote-Funktionen führen.

Die Hersteller BMW, Renault und Volkswagen haben die Schwachstellen bestätigt und Verbesserungen angekündigt.

Forderungen des ADAC

  • Die Hersteller sollten strengere Passwortrichtlinien implementieren.

  • Sie sollten dafür sorgen, dass bestimmte Funktionen in der App aus Sicherheitsgründen während der Fahrt deaktiviert werden.

  • Die durch den Hersteller gesammelten Daten sollten für den Fahrzeugbesitzer frei einsehbar sein.

  • Eine Deaktivierung der Datenübertragung im Fahrzeug muss jederzeit möglich sein.

  • Konzeption, Entwicklung und Umsetzung von Remote-Apps durch den Hersteller müssen nach aktuellen IT-Sicherheitsrichtlinien erfolgen.