Sicherheitsforscher kapert Nissan Leaf per mobiler App

Dem australischen Sicherheitsforscher Troy Hunt ist es gelungen, die mobile Companion-App für ein Elektrofahrzeug des japanischen Herstellers Nissan zu knacken. Dadurch erhält er Zugriff auf alle Daten, die das Modell Leaf während der Fahrt sammelt. Die Sicherheitslücke in der App erlaubt es aber auch, Funktionen wie die Klimaanlage und Heizung zu manipulieren, wie IT Security Guru berichtet.

Die Fahrzeugsoftware selbst überprüft offenbar nicht die Identität eines Nutzers. Ein Hacker benötigt indes nur die Fahrgestellnummer, um die Kontrolle über bestimmte Funktionen eines Nissan Leaf übernehmen zu können. Da nur die letzten fünf Stellen der Fahrgestellnummer variabel sind, kann ein Computer eine korrekte Nummer leicht erraten. Zudem ist bei vielen Fahrzeugen heute die Fahrgestellnummer durch die Windschutzscheibe sichtbar.

„Laut den Untersuchungen von Troy Hunt handelt es sich um einen der grundlegendsten Sicherheitsfehler, die man begehen kann“, kommentiert Richard Kirk, Senior Vice President der Sicherheitsfirma AlienVault. „Es gibt keine Nutzerauthentifizierung, um zu überprüfen, ob der Nutzer der App auch der Eigentümer des Fahrzeugs ist. Es ist schwer zu glauben, dass ein Fahrzeughersteller wie Nissan erlaubt, dass eine App auf diese Art entwickelt wird und gleichzeitig nicht bestimmte Sicherheitsprüfungen durchführt, bevor er die App in einem App Store veröffentlicht.“

Derzeit bietet die App jedoch keinen Zugriff auf kritische Fahrzeugsysteme oder –funktionen wie das Entriegeln des Fahrzeugs aus der Ferne oder das Abschalten des Motors. Kirk weist aber darauf hin, dass es möglich ist, derartige Features zu der App hinzuzufügen – wie es bei anderen Anbietern bereits der Fall sei.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Da die fragliche Companion-App über das Internet eine Verbindung zu einem Nissan Leaf herstellt, spielt die Entfernung zwischen Hacker und Fahrzeug keine Rolle. In einem Video zeigt Hunt, wie er von Australien aus die Klimaanlage eines Nissan Leaf in Nordengland steuert – der Fahrzeughalter sitzt währenddessen ohne Autoschlüssel in seinem Wagen.

Hunt hatte sich einen Monat vor der Veröffentlichung seines Berichts an Nissan gewandt, um dem Unternehmen die Möglichkeit zu geben, den Fehler zu beheben. Ihm zufolge finden sich Details zu der Schwachstelle auch schon in einem Online-Forum. Entdeckt wurden sie von Leaf-Besitzern in Kanada. Eine Nissan-Sprecherin sagte der BBC lediglich, ihr Unternehmen sei noch nicht in der Lage, die Angelegenheit zu kommentieren.

[mit Material von Tom Jowitt, TechWeekEurope]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago