29. Februar 2016 - Connected Cars

Fatale Sicherheitslücke trifft Nissan Leaf

Das weltweit erfolgreichste Elektroauto, der Nissan Leaf, weist eine Schwachstelle in der dazugehörigen Smartphone-App zur Fernsteuerung auf. Sie erlaubt es, Funktionen in fremden Autos über das Internet ein- und auszuschalten.

Sicherheitsluecke in Smartphone-App zu Nissan Leaf Fahrzeuge des Typs Nissan Leaf erlauben den illegalen Zugang zu Funktionen per Internet (Bild: Nissan)

Mehr als 200.000 Autos des Typs Leaf hat Nissan bislang weltweit verkauft – damit ist dieses Modell das weltweit meistverkaufte Elektrofahrzeug. Besitzer dieses Kfz sollten allerdings vorsichtig sein, wenn sie die Smartphone-App NissanConnect EV nutzen, über die sich Komfortfunktionen des Autos fernsteuern lassen.

Mangelhafte Absicherung von NissanConnect EV

Wie der australische Sicherheitsspezialist Troy Hunt in einem Blog-Beitrag nachweist, können sich Fremde ohne große Mühe Zugang zur Steuerung der Klimaanlage beliebiger Fahrzeuge des Typs Leaf verschaffen. Grund ist die schlampige Erstellung der betreffenden App, die auf jegliche Authentifizierung über Log-in oder PIN-Code beim Zugriff verzichtet und die Identifikation lediglich anhand der Fahrgestellnummer (Vehicle Identification Number; VIN) vornimmt.

Diese VIN ist allerdings bei jedem Fahrzeug links unten an der Windschutzscheibe angebracht und für jeden sichtbar. Potenzielle Angreifer müssen aber nicht erst einen Nissan Leaf vor Ort aufsuchen. Da die 17-stellige VIN nach einem festgelegten Muster aufgebaut ist, sind die ersten elf Ziffern über Hersteller, Werk, Baureihe und -jahr sowie Ausstattung bereits fest definiert. Lediglich die letzten sechs Ziffern sind individuell für ein Fahrzeug vergeben, was Brute-Force-Attacken – also das schlichte Ausprobieren möglicher Zifferkombinationen – denkbar einfach macht.

DoS-Attacke aufs Automobil

Hat sich ein Angreifer auf diese Weise in ein betroffenes Fahrzeug eingehackt, kann er Klimaanlage und Sitzheizung frei ein- und ausschalten und die Temperatur regeln. So lässt sich etwa bei abgestellten Autos eine Batterieleerung erreichen und damit die Nutzung verhindern. Darüber hinaus hat er Zugriff auf Informationen

  • zum Energieverbrauch während der Fahrten,
  • zum Ladestatus der Batterie,
  • zu den Fahrdaten der letzten Tage sowie
  • Hinweise auf den Standort des Wagens.

In einem Video zeigt Hunt, wie er von Australien aus den Nissan Leaf eines Freundes in Nordengland manipuliert, Geräte ein- und ausschaltet und von dort Daten abruft. Hierzu musste die Zündung des Automobils nicht angeschaltet sein.

Nissan hat die mittlerweile reagiert und die App deaktiviert. In Kürze soll eine neue, fehlerbefreite Version dieser Software veröffentlicht werden.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln