Menü
Rund ums Fahrzeug
Verkehr
Reise & Freizeit
Produkte
Mitgliedschaft
Der ADAC

Remote-Apps: Fernbedienung fürs Auto

Frau nutzt Remote App um ihr Auto zu öffnen
Mit Remote-Apps lassen sich Fahrzeugfunktionen über das Smartphone fernsteuern ∙ © iStock.com/iprogressman

Sie haben Ihr Auto abgestellt und fragen sich später, ob es wirklich abgesperrt ist? Oder Sie haben in einer fremden Stadt geparkt – können sich aber nicht mehr an den Ort erinnern? Wir haben drei Remote-Apps genauer untersucht.

  • Alle führenden deutschen Hersteller bieten Remote-Apps an

  • Die Sicherheit wurde in den meisten Bereichen eingehalten

  • Der ADAC fordert von den Herstellern strengere Passwortrichtlinien

Mehr als 20 Fahrzeughersteller bieten Remote-Apps an. Die Fernsteuerungsfunktion ist dabei an Ausstattungspakete gebunden (meist in der Oberklasse) oder als Einzelfunktion wählbar. Auch in der Angebotsbreite unterscheiden sich die Apps zum Teil massiv.

Das können die Remote-Apps verschiedener Hersteller:
PDF, 1.4 MB
PDF ansehen

Prinzipiell bieten alle führenden deutschen Pkw-Hersteller Remote-Apps mit zahlreichen Funktionen an. Wichtige asiatische Autobauer wie Mazda, Toyota, KIA und Hyundai oder auch die Franzosen Citroën und Peugeot hatten hingegen zum Zeitpunkt der Untersuchung Ende 2017 keine Fernsteuerungs-Apps im Angebot.

Die angebotenen Funktionen der Remote-Apps lassen sich in zwei Hauptgruppen unterteilen: Informativ sind Fahrzeuginformationen wie Standort, Restreichweite oder Inspektionsintervalle, die in der App angezeigt werden. Hier ist kein Eingriff möglich.
Steuernd dagegen sind Funktionen wie Tür-/Fensterverriegelung, Ladedauer oder Standheizung. Diese können über das Smartphone angewählt und gesteuert werden.

IT-Sicherheit von Remote-Apps

Zentraler Punkt der von der ERNW Enno Rey Netzwerke GmbH im Auftrag des ADAC durchgeführten Untersuchung war die IT-Sicherheit. Denn Remote-Apps rücken zunehmend ins Visier versierter Angreifer. Gelänge es Autodieben etwa, Benutzerkonten zu übernehmen, wäre nicht nur eine exakte Ortung, sondern auch eine direkte Entriegelung des Fahrzeugs möglich.

Stichprobenartig wurden drei Android-Apps in einem sogenannten Penetrationstest einer statischen, dynamischen und einer Netzwerk-Analyse unterzogen:

  • BMW Connected (Version 3.1.1.3078)

  • Renault My Z.E. (Version 1.0.3.)

  • VW Car-Net (Version 4.3.4.)

Die Sicherheit wurde bei allen drei Apps in den meisten Bereichen eingehalten. Dennoch gab es unter anderem folgende Mängel:

Die Renault-App speichert sensible Daten in einer unverschlüsselten Datenbank direkt auf dem Smartphone. Nutzerdaten können dadurch bei Angriffen manipuliert werden. Durch Ausnutzung einer weiteren Sicherheitslücke könnten versierte Angreifer hier, ebenso wie bei der VW-Car-Net-App, den Datenverkehr zur Cloud lesen und verändern.

Die BMW-Connected App übermittelt die Anmeldeinformationen über eine unsichere Methode und verlangt ein schwaches, einfach zu überwindendes Passwort. Alle drei Remote-Apps beenden außerdem nach einem Log-out die Sitzung nicht korrekt. Deshalb kann ein Angriff von außen durch den Nutzer nicht unterbunden werden.

Remote-Apps / Fazit

Fazit: Es wurde bei keiner der drei Apps eine kritische Sicherheitslücke gefunden, das Risiko der festgestellten Mängel ist als „mittel“ einzuschätzen. Im Extremfall können diese Mängel allerdings zu einem Fremdzugriff auf das Benutzerkonto und zu einer Steuerung aller Remote-Funktionen führen.

Die Hersteller BMW, Renault und Volkswagen haben die Schwachstellen bestätigt und Verbesserungen angekündigt.

Forderungen des ADAC

  • Die Hersteller sollten strengere Passwortrichtlinien implementieren.

  • Sie sollten dafür sorgen, dass bestimmte Funktionen in der App aus Sicherheitsgründen während der Fahrt deaktiviert werden.

  • Die durch den Hersteller gesammelten Daten sollten für den Fahrzeugbesitzer frei einsehbar sein.

  • Eine Deaktivierung der Datenübertragung im Fahrzeug muss jederzeit möglich sein.

  • Konzeption, Entwicklung und Umsetzung von Remote-Apps durch den Hersteller müssen nach aktuellen IT-Sicherheitsrichtlinien erfolgen.