BMW i3 & i8

iRemote-Apps von Elektro-BMWs als Angriffsfläche für Hacker

Die iOS-App iRemote und das Portal ConnectedDrive für BMWs Elektro-Autos i3 und i8 hat Schwachstellen. Diese stellte der Sicherheitsanalyst Ken Munro fest.

BMW i3 & i8: Die iRemote-Apps können eine Angriffsfläche für Hacker sein.

© BMW

BMW i3 & i8: Die iRemote-Apps können eine Angriffsfläche für Hacker sein.

Da BMW i3 und BMW i8 allerhand IT besitzen, sind auch deren Sicherheitslücken für Hacker ein Ziel. Ken Munro, ein Sicherheitsanalyst von PenTestPartners stellte nun fest, dass sich durch bestimmte Schwachstellen der beiden Autos, deren Türen und Fenster von außen öffnen lassen. Sogar ein kontrolliertes Auf- und Abschließen der Autos durch Hacker soll möglich sein.

Zuerst beschrieb Munro die Sicherheitsdefizite der iRemote-App. Die Nutzer-Accounts werden hier durch Benutzernamen im standardmäßigen Format "vorname.nachname" beschrieben. Durch das relativ mühelose Ermitteln von BMW i3 bzw. BMW i8 Besitzern auf Facebook oder Twitter können die Usernamen leicht erraten werden. Der Sicherheitsanalyst erklärte, dass durch die Passwortfunktion, die nach fünf falschen Passworteingaben den betreffenden Account sperrt, zu erkennen ist, ob der verwendete Benutzername korrekt ist.

Eine weitere Schwachstelle stellt das Reset-Passwort dar. Einen Hinweis zur Sicherheit des verwendeten Passworts gibt es nicht, sodass einige vermutlich per Brute Force leicht zu knacken wären. Es besteht einzig aus fünf Buchstaben, bei dem klein- und großgeschriebene Zeichen gleich gedeutet werden. Das Passwort kann angefordert werden, wenn Benutzer ihre Zugangsdaten vergessen haben.

Durch diese Angriffsflächen von BMW i3 und BMW i8 können Hacker sich fremde iRemote-Accounts aneignen. Dem Öffnen der fremden Wägen steht somit nichts mehr im Weg. Sollten Nutzer das Passwort gleichzeitig auch für die Plattform ConnectedDrive gebrauchen, ist sogar das Orten der Autos möglich.

Ein Statement von BMW zur Sicherheitsanalyse Ken Munros gab es bisher noch nicht. Jedoch soll durch eine weitere PIN-Sperre, die Sicherheit der App und schließlich die des Autos im Falle des Handy-Verlustes gewährleistet sein.

BMW ConnectedDrive: BMW Remote App.

Quelle: BMW Deutschland
2:35 min

Mehr zum Thema

BadNews: Auf dem Android-Marktplatz wurden Schädlinge entdeckt.