BimmerToday Deutschland

My BMW Remote App: Sicherheit der Fernsteuerungs-App in der Kritik

Mit der MyBMW Remote App lassen sich seit einiger Zeit ausgewählte Funktionen des Fahrzeugs fernsteuern: Die sowohl für Apple iOS als auch für Android erhältliche App ermöglicht es unter anderem, eine Klimatisierung des Fahrzeugs auszulösen oder Funktionen wie Hupe und Lichthupe auszulösen. Außerdem können die Türen ver- und entriegelt werden, ein Motorstart ist allerdings nicht möglich.

Im Rahmen des Marktstarts von BMW i3 und i8 wurde die MyBMW Remote App einer breiteren Öffentlichkeit bekannt, was erwartungsgemäß auch Kritiker auf den Plan gerufen hat. Der Sicherheits-Experte Ken Munro hat die App genauer unter die Lupe genommen und dabei Schwachstellen entdeckt, die unter Umständen zu Problemen führen könnten.

So kritisiert Ken Munro beispielsweise, dass die meisten Nutzer einen User-Namen nach dem auch für Außenstehende nachvollziehbaren Schema Vorname.Nachname wählen und nicht ausdrücklich zur Wahl eines besonders sicheren Passworts aufgefordert werden. Hat man das Passwort vergessen und beantragt nach entsprechender Authorisierung ein neues Passwort, erhält man per Mail einen kurzen und daher vergleichsweise leicht zu knackenden Code aus fünf Kleinbuchstaben. Allerdings: Auch Ken Munro ist es nicht gelungen, ein Fahrzeug tatsächlich zu orten oder gar zu entsperren.

Auf Nachfrage von uns hat sich BMW ausführlich zur Sicherheit der My BMW Remote App geäußert und geht dabei auch auf die Schwachstellen ein, die Ken Munro in seinem Artikel adressiert:

Für BMW steht die Sicherheit unserer Kunden an oberster Stelle. Deshalb führen wir regelmäßig Tests durch und gehen auch allen an uns herangetragenen Hinweisen nach, um unsere Systeme laufend weiter zu entwickeln und stetig zu verbessern.

In dem ursprünglich adressierten Artikel geht der Autor von einem Szenario aus, das bis dato nicht stattgefunden hat, sondern erst einmal nur theoretischer Natur ist:

You could start a distributed attack against the Connected Drive and iRemote users, using the enumeration flaw and social media to discover valid users. [It could] cause enough of a fuss with repeated lockouts for BMW to consider urgent action, potentially removing the lockout function as a temporary measure to keep annoyed drivers from bombarding their call centres.

Dagegen betont der Artikel, dass alle wesentlichen Mechanismen zur Sicherheit von Kunden-Accounts vorhanden und sorgfältig designt sind. Als Bedrohung sieht der Verfasser die Möglichkeit, dass wir in einer Krisensituation Sicherheitsmechanismen abschalten könnten, was dann die eigentlichen Angriffe erst ermöglichen würde. Das haben wir bisher aber weder getan noch ist das je beabsichtigt.

Daneben wird bemerkt, dass BMW die Nutzung zu schwacher Passwörter erlaubt oder diese selbst ausgibt, sowie mit leicht erratbaren Nutzernamen die Ermittlung gültiger Accounts und damit lohnender Angriffsziele zu leicht macht. Diese Schwachstellen wurden im Rahmen der Neuausrichtung von ConnectedDrive bereits adressiert. Die Maßnahmen sind schon umgesetzt und werden nun sukzessive weltweit ausgerollt.

Konkret heißt das:

  • Stärkere Passwort-Policy fordert die Eingabe längerer Passworte (8 Zeichen)
    sowie alphanumerische Kombinationen
  • Der Passwort-Reset-Mechanismus sendet einen Reset-Link an die hinterlegte
    e-mail-Adresse; es findet kein SMS-Versand von temporären Reset-Passworten
    mehr statt
  • Der Kunde kann seinen Nutzernamen frei wählen, es wird keine Vorname.Nachname
    Kombination erzwungen.

Wie bereits erwähnt, hat die Sicherheit des Kunden bei BMW oberste Priorität und sobald derartige Probleme auftauchen, tun wir alles dafür, um zu einer schnellen Lösung zu gelangen. In diesem Fall wurden die genannten Verbesserungsmaßnahmen bereits proaktiv im Rahmen der laufenden Optimierungsschleifen definiert und umgesetzt. Die Lösungen, die wir erarbeitet haben, werden nun weltweit angewandt und umgesetzt.

Exit mobile version