Sicherheitsforscher kapert Nissan Leaf per mobiler App

Er kontrolliert Funktionen wie Klimaanlage und Heizung aus der Ferne. Die Companion-App des Nissan Leaf enthält keine Authentifizierungsfunktion. Sie überprüft nur die Fahrgestellnummer – die sich aber leicht fälschen lässt.

Dem australischen Sicherheitsforscher Troy Hunt ist es gelungen, die mobile Companion-App für ein Elektrofahrzeug des japanischen Herstellers Nissan zu knacken. Dadurch erhält er Zugriff auf alle Daten, die das Modell Leaf während der Fahrt sammelt. Die Sicherheitslücke in der App erlaubt es aber auch, Funktionen wie die Klimaanlage und Heizung zu manipulieren, wie IT Security Guru berichtet.

Nissan Leaf (Bild: Nissan)Die Fahrzeugsoftware selbst überprüft offenbar nicht die Identität eines Nutzers. Ein Hacker benötigt indes nur die Fahrgestellnummer, um die Kontrolle über bestimmte Funktionen eines Nissan Leaf übernehmen zu können. Da nur die letzten fünf Stellen der Fahrgestellnummer variabel sind, kann ein Computer eine korrekte Nummer leicht erraten. Zudem ist bei vielen Fahrzeugen heute die Fahrgestellnummer durch die Windschutzscheibe sichtbar.

„Laut den Untersuchungen von Troy Hunt handelt es sich um einen der grundlegendsten Sicherheitsfehler, die man begehen kann“, kommentiert Richard Kirk, Senior Vice President der Sicherheitsfirma AlienVault. „Es gibt keine Nutzerauthentifizierung, um zu überprüfen, ob der Nutzer der App auch der Eigentümer des Fahrzeugs ist. Es ist schwer zu glauben, dass ein Fahrzeughersteller wie Nissan erlaubt, dass eine App auf diese Art entwickelt wird und gleichzeitig nicht bestimmte Sicherheitsprüfungen durchführt, bevor er die App in einem App Store veröffentlicht.“

Derzeit bietet die App jedoch keinen Zugriff auf kritische Fahrzeugsysteme oder –funktionen wie das Entriegeln des Fahrzeugs aus der Ferne oder das Abschalten des Motors. Kirk weist aber darauf hin, dass es möglich ist, derartige Features zu der App hinzuzufügen – wie es bei anderen Anbietern bereits der Fall sei.

HIGHLIGHT

So halten Ihre Netzwerkdaten vor Gericht stand

Angesichts der immer komplizierteren Angriffe werden die meisten großen Unternehmen mit hoher Wahrscheinlichkeit irgendwann einmal von einer Sicherheitsverletzung betroffen sein. Doch mit den richtigen Daten und dem nötigen Überblick über das Netzwerk kann sich ein Unternehmen besser auf seine Beweisführung vor Gericht vorbereiten. Dieses Whitepaper erklärt, worauf es ankommt.

Da die fragliche Companion-App über das Internet eine Verbindung zu einem Nissan Leaf herstellt, spielt die Entfernung zwischen Hacker und Fahrzeug keine Rolle. In einem Video zeigt Hunt, wie er von Australien aus die Klimaanlage eines Nissan Leaf in Nordengland steuert – der Fahrzeughalter sitzt währenddessen ohne Autoschlüssel in seinem Wagen.

Hunt hatte sich einen Monat vor der Veröffentlichung seines Berichts an Nissan gewandt, um dem Unternehmen die Möglichkeit zu geben, den Fehler zu beheben. Ihm zufolge finden sich Details zu der Schwachstelle auch schon in einem Online-Forum. Entdeckt wurden sie von Leaf-Besitzern in Kanada. Eine Nissan-Sprecherin sagte der BBC lediglich, ihr Unternehmen sei noch nicht in der Lage, die Angelegenheit zu kommentieren.

[mit Material von Tom Jowitt, TechWeekEurope]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Auto & IT, Nissan, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsforscher kapert Nissan Leaf per mobiler App

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *