BMW i3: angebliche Sicherheitslücke in iPhone-App
München – Was James Bond 1995 vorgemacht hat, ist heute real: Autos lassen sich mit dem Smartphone bedienen. Der Sicherheit zuliebe beschränken Hersteller die Funktionen auf simple Details wie das Anzeigen von Standort oder Akkuladung. Trotzdem sind Telefon und Autoelektronik vernetzt – und bieten deshalb Angriffsfläche für Hacker.
Wie groß diese Gefahr ist, soll ein Sicherheitsanalyst herausgefunden haben: Die Online-Ausgaben von "Chip" und "Bild" berichten, Ken Munro habe BMW-Sicherheitssystem überlistet und den I3 eines Freundes geöffnet.
Test: Wie sicher ist die BMW-I3-App?
Der Besitzer habe kurz nach der Lieferung seines Elektroautos von Sicherheitsproblemen bei Tesla gehört. Er bat Munro deshalb, zu überprüfen, ob sein BMW sicher ist.
Der Hintergrund: Über die BMW-App iRemote lassen sich Akkuladung sowie Reichweite prüfen, Türen, Fenster und Klimatisierung bedienen und die Position des I3 bestimmen. Unbefugte mit Zugriff zur App könnten demnach das Fahrzeug orten, öffnen und über die Onbord-Diagnose-Schnittstelle kurzschließen.
Sicherer als Tesla, aber mit Schwachstellen
Munro betont in seinen Ausführungen, dass die BMW-Entwickler sich offenbar mehr Gedanken um die Sicherheit gemacht haben, als die Kollegen bei Tesla. Um einen i3 mit der App zu vernetzen, müsse man zum Beispiel mit dem BMW-Center telefonieren. Dabei würden viele Informationen abgefragt. Außerdem sei ein erratener Login nur sehr schwer zu verifizieren.
Trotzdem gebe es Schwachstellen. Der Nutzername setze sich nach dem Prinzip „Vorname.Nachname“ zusammen. I3- oder I8-Fahrer und -Nutzernamen ließen sich einfach in sozialen Netzwerken finden. Zum gehackten Account fehle dann „nur noch“ das Passwort.
Das sei ab Werk sehr unsicher. Wenn der Halter sein Passwort vergisst, setzte es BMW auf eine Kombination aus fünf Buchstaben zurück. „Chip“ berichtet, dass sich dies über die „Brute Force“-Methode, also durch systematisches Ausprobieren, verhältnismäßig einfach knacken lasse.
Probleme bereits behoben
Das stimmt nicht: Munro bemängelt zwar das unsichere Passwort und das Fehlen einer Aufforderung zur Änderung. Er schreibt aber, dass sich das System bei zu vielen Fehleingaben sperre. Ein Zugang per Brute-Force wäre also ein unwahrscheinlicher Glücksfall – es gebe 10^18 Buchstabenkombinationen.
Noch vor der Veröffentlichung von Munros Versuch hat BMW die Sicherheitsvorkehrungen verschärft. Ein Passwort muss nun aus mindestens acht Buchstaben und Zahlen bestehen. Zurückgesetzte Passwörter werden nicht mehr per SMS, sondern per E-Mail an eine hinterlegte Adresse verschickt. Des Weiteren ist der Nutzername nun frei wählbar.
Auf Nachfrage von MOTOR-TALK sagte ein BMW-Sprecher, dass Munro den Test-I3 nicht öffnen konnte. Ein von Munro erdachter Fall sei nicht eingetreten. Das System sei demnach nicht, wie angegeben, mit einfachen Mitteln hackbar.
Quelle: MOTOR-TALK
Ähnliche Themen
43 Antworten
Problematisch ist nicht das öffnen der Tür, das ging früher schon relativ einfach. Problematisch ist der Zugriff aus der Ferne auf Fahrzeuginnereien. Wenn man Pech hat und an den falschen gerät dann hackt er das Auto so und fährt vor den nächsten Baum.
Wenn ich diese Entwicklung sehe bin ich froh ein Auto ohne jede moderne Technik zu fahren. Das Motorsteuergerät und das Radio - mehr Elektronik braucht kein Auto!
Und wenn das Smartphone verloren geht oder gestohlen wird? Der Dieb kann den Standort abfragen und das Auto aufsperren. Ein wahrgewordener Alptraum.
Super, bald in aktueller Watch Dogs Manier problemlos per Hack ans Steuer und spurlos davonfahren.
Heute noch für manch einen überzogene Parodie -ausgelebt in einem Spiel- bald vielleicht Realität? Jetzt gibt es doch schon recht simple Tricks die Funksignale moderner Wagen zu manipulieren, was wird wohl alles per Software möglich sein, wenn beide Seite im Wettrüsten sind....
Am Ende muss man sein Auto auch noch mit einer Firewall ausstatten und auf zeitnahe Herstellerupdates hoffen, damit das Auto da steht, wo man es geparkt hat :D
Nicht immer ist Fortschritt auch wirklich ein Fortschritt. Man kanns wirklich übertreiben. Vorallem muß man sich extra ein I-Phone zulegen für den Spaß, was weitere kosten und Gefahren für den Endkunden bedeutet. Ich finde es erschreckend wie weit das ganze mittlerweile geht.
Ist doch so was von klar, daß solche Techniken gehackt werden können und werden!
Ich freu mich schon aufs autonome Fahren... ;)
Rückschritt durch Fortschritt.
Wohin? Egal, Hauptsache schnell eine Weiterentwicklung. Hat die Kameraindustrie schon hinter sich, wer braucht schon 100 Megapixel?
Zitat:
Original geschrieben von Gorgeous188
Und wenn das Smartphone verloren geht oder gestohlen wird? Der Dieb kann den Standort abfragen und das Auto aufsperren. Ein wahrgewordener Alptraum.
Die App erwartet einen PIN Code. Und Ortung geht nur innerhalb von 1.5 Kilometern. Grundsätzlich sollte jeder sein Smartphone per PIN sichern, unabhängig vom PIN der App.
Freunde man kann vieles hacken.
Eure Telefone
Euer Konto
Autos sowieso auch
Bmw hat auch sos und 3G usw.
Internetfähige autos usw.
Das geht schon lange.
Wegfahrsperre
Keyless go
Bei bmw i bzw elektroautos neuerer Generation kommen nur halt so app Geschichten dazu.
Zitat:
Original geschrieben von Slimbox89
Freunde man kann vieles hacken.
Eure Telefone
Euer Konto
Autos sowieso auch
Bmw hat auch sos und 3G usw.
Internetfähige autos usw.
Toll, hast Du das alles in der "Computer BILD" gelesen? Was für Telefone meinst Du denn? Was für Konten? BMW hat also SOS und 3G? Aha... und was kann man dann da hacken? Und was kann man an einem "internetfähigen Auto" hacken? In der BILD wird so Zeugs immer sehr einfach erklärt, daß es möglichst jeder kapiert... nur leider gehen dabei wichtige Details verloren und irgendwann erzählen dann Leute wie Du Sachen wie "man kann vieles hacken" :rolleyes:
Man kann auch Kräuter hacken!
Wenn Du keine Ahnung hast, dann versuche nicht andere aufzuklären, was man alles hacken kann...
Zitat:
Original geschrieben von br403
Die App erwartet einen PIN Code. Und Ortung geht nur innerhalb von 1.5 Kilometern. Grundsätzlich sollte jeder sein Smartphone per PIN sichern, unabhängig vom PIN der App.
Die Katze beißt sich in den Schwanz. Dann muss der Dieb eben erst das Smartphone und/oder die App knacken, bevor er Zugriff auf Standort und Zündung bekommt. Machts das jetzt besser?
Zitat:
Original geschrieben von Astra-f-anatic
Nicht immer ist Fortschritt auch wirklich ein Fortschritt. Man kanns wirklich übertreiben. Vorallem muß man sich extra ein I-Phone zulegen für den Spaß, was weitere kosten und Gefahren für den Endkunden bedeutet. Ich finde es erschreckend wie weit das ganze mittlerweile geht.
Nichts für ungut, aber wenn ich solch technophobes Zeug lese, dann bekomme ich Pickel. Von der anvisierten Zielgruppe des i3 dürften mittlerweile über 80 Prozent ein Smartphone haben. Es muss kein iPhone sein, die App gibt es auch für Android.
Es ist eine Eigenheit eines Elektroautos, dass das Auftanken länger dauert als man dabeistehen möchte. Dafür bietet die stationäre Stromversorgung eben die Möglichkeit, den Wagen ferngesteuert aufzuheizen oder abzukühlen - ein Komfort, den herkömmliche Verbrenner nicht bieten. Für mich ist es sehr logisch und vernünftig, dass man sich dann auch per Smartphone über den Status des Autos informieren kann. Das ferngesteuerte Entriegeln der Türen halte ich eigentlich für unnütz. Allerdings hat der i3 eine Verriegelung des Ladesteckers, die mit der Türverriegelung gekoppelt ist. Denkbar wäre also, dass man seinen i3 an eine Ladesäule hängt und weggeht. Und nun stellen wir uns vor, ein anderer i3-Fahrer kommt und möchte sein Auto aufladen, das Ladekabel steckt aber noch im i3 fest. Dann kann der Andere den i3-Besitzer anrufen, der entriegelt aus der Ferne sein Auto und gibt so das Ladekabel frei.
Übrigens muss man beim i3 nicht ein Smartphone benutzen. Das ist wie mit einer Standheizung, da muss man auch keine Fernbedienung benutzen, wenn man das nicht will. Man verzichtet dann eben auf etwas Komfort.
Zitat:
Original geschrieben von BirgerS
Man kann auch Kräuter hacken!
Der bislang schlauste Satz der Diskussion! :D
"Ey Mann, wo ist mein Auto" war ein toller Film! Er wirft die Frage auf, die wir uns alle schon gestellt habe: Und dann?!
Zitat:
Original geschrieben von BirgerS
Zitat:
Original geschrieben von Slimbox89
Freunde man kann vieles hacken.
Eure Telefone
Euer Konto
Autos sowieso auch
Bmw hat auch sos und 3G usw.
Internetfähige autos usw.
Toll, hast Du das alles in der "Computer BILD" gelesen? Was für Telefone meinst Du denn? Was für Konten? BMW hat also SOS und 3G? Aha... und was kann man dann da hacken? Und was kann man an einem "internetfähigen Auto" hacken? In der BILD wird so Zeugs immer sehr einfach erklärt, daß es möglichst jeder kapiert... nur leider gehen dabei wichtige Details verloren und irgendwann erzählen dann Leute wie Du Sachen wie "man kann vieles hacken" :rolleyes:
Man kann auch Kräuter hacken!
Wenn Du keine Ahnung hast, dann versuche nicht andere aufzuklären, was man alles hacken kann...
Glaubst ich lese eure deutschen Klopapiermedien?
Das ganze war rein bildlich gemeint.
Alles was funkt kann doch abgehört werden oder nicht?
Nichts anderes meinte ich damit und zwar, dass wir das sowieso alles im Alltag nutzen, oder vieles.
Und regt sich wer auf?
Andere Apps lädt man runter und hat einen Virus. Ich möchte ERSTMAL sehen wie eines eben jener Autos durch Manipulation zum Anhalten, Lenken usw. gebracht wird.
Hab das von Tesla, BMW usw. noch nicht gehört.
Und aufklären will ich garkeinen, ich habs nur erwähnt.
Ich fahre selbst einen ZOE also betrifft es mich.
Hat dein Auto denn ein App?
Zitat:
Hat dein Auto denn ein App?
Ja sorry, aber ich Diskutiere nicht mit Leuten, die solche Fragen stellen!
Meistens hat man Angst vor Dingen, die man nicht richtig begreift... das ist bei Dir wohl der Fall!
Du hast irgendwo irgendwas aufgeschnappt und spinnst Dir jetzt irgendwas zusammen... ob mein Auto ein App hat??? Ne, viel schlimmer: Mein Auto kann mechanisch manipuliert werden!