Dass nicht nur Autos selbst, sondern auch Carsharing Apps für die Nutzung von Fahrzeugdiensten gehackt werden können, zeigten unlängst die Forschungsergebnisse der IT-Sicherheitsfirma Kaspersky Lab. Die Experten schlagen Alarm, denn sie haben insgesamt 13 namhafte Carsharing Apps eingängig getestet. Heraus kam, dass alle davon massive Sicherheitslücken aufweisen.
Kaspersky Lab gibt die Namen der Apps nicht bekannt, nichtsdestominder handelt es sich bei den geprüften Apps um die beliebtesten in Europa und zwar diejenigen, die mehr als eine Million Downloads bei Google Play aufweisen.
Breite Streuung von Sicherheitslücken
Die Sicherheitslücken sind breit gefächert. Aus der Überprüfung durch Kaspersky Lab ergaben sich verschiedene Arten der Sicherheitsproblematik.
Die geprüften Apps wiesen keinen Schutz vor Man-in-the-Middle-Angriffen auf. Hierbei wiegt sich ein Nutzer im Vertrauen auf eine sichere Webseite zuzugreifen, wird aber stattdessen auf die Webseite eines Angreifers umgeleitet. Dieser kann vom Nutzer persönliche Daten problemlos abgreifen, wie beispielsweise Login Details oder eine PIN.
Des Weiteren wurde kein Schutz bei Reverse Engineering von Anwendungen festgestellt. Angreifern ermöglicht dies, die Funktionsweise der App nachzuvollziehen. Dadurch können Schwachstellen identifiziert werden, um die Infrastruktur von Servern weiter anzugreifen.
Administrator-Rechte für Angreifer – unattraktives Szenario
Eine weitere Sicherheitslücke ergibt sich über das Fehlen eines Erkennungsverfahrens für Rooting. Root-Rechte ermöglichen den Zugriff auf das komplette Betriebssystem des Handys – eine Administrator-Rolle mit Vollzugriff. Fehlt hier ein Erkennungsverfahren, können Angreifer das Betriebssystem des mobilen Gerätes komplett manipulieren und nach ihren Wünschen entsprechend konfigurieren – ohne, dass dies dem Nutzer direkt auffallen muss.
Nicht zuletzt haben die geprüften Apps keinen Schutz vor sogenannten App-Overlay-Techniken. Dies ermöglicht schadhaften Apps beispielsweise Phishing Fenster über die App zu legen und so Login-Informationen von Nutzern vergleichsweise problemlos abzufangen. Als letzte signifikante Sicherheitslücke nennt Kaspersky Lab die Problematik, dass nicht einmal fünfzig Prozent der untersuchten Apps starke Passwörter verlangen. Somit können Angreifer ein einfaches Brute-Force-Szenario ausnutzen, um sich Zugang zu wichtigen Daten zu verschaffen.
Eigene Sicherheit im Fokus – wie können wir uns trotzdem schützen?
Die Sicherheitslücken sind nun bekannt. Aber wie sollen die Nutzer damit umgehen? Heißt es nun, dass wir die Apps von jetzt an gar nicht mehr benutzen sollten?
Zunächst sei angemerkt, dass bisher noch keine Angriffe auf Carsharing Dienste entdeckt wurden. Dass dies nicht immer so bleiben muss, ist sicher, denn Cyber-Angreifer wissen oft sehr zeitnah welchen Wert Angriffe auf Apps haben können. App-Hersteller sind daher aufgefordert, die Schwachstellen besser heute als morgen zu beseitigen. Bis dies umgesetzt wird, kann ungeachtet dessen auch jeder Einzelne etwas für seine Sicherheit tun.
Die Prüfer der Apps raten zu einfachen Sicherheitstipps: eigene Smartphones sollten niemals gerootet werden (diese Funktion ist standardmäßig bei allen Android Geräten deaktiviert), das jeweilige Betriebssystem sollte stets auf dem neuesten Stand gehalten werden und idealerweise sollte die Verwendung von Antiviren-Programmen auch auf mobilen Endgeräten der Standard sein.