My BMW Remote App: Sicherheit der Fernsteuerungs-App in der Kritik

News | 4.06.2014 von 4

Mit der MyBMW Remote App lassen sich seit einiger Zeit ausgewählte Funktionen des Fahrzeugs fernsteuern: Die sowohl für Apple iOS als auch für Android erhältliche …

Mit der MyBMW Remote App lassen sich seit einiger Zeit ausgewählte Funktionen des Fahrzeugs fernsteuern: Die sowohl für Apple iOS als auch für Android erhältliche App ermöglicht es unter anderem, eine Klimatisierung des Fahrzeugs auszulösen oder Funktionen wie Hupe und Lichthupe auszulösen. Außerdem können die Türen ver- und entriegelt werden, ein Motorstart ist allerdings nicht möglich.

Im Rahmen des Marktstarts von BMW i3 und i8 wurde die MyBMW Remote App einer breiteren Öffentlichkeit bekannt, was erwartungsgemäß auch Kritiker auf den Plan gerufen hat. Der Sicherheits-Experte Ken Munro hat die App genauer unter die Lupe genommen und dabei Schwachstellen entdeckt, die unter Umständen zu Problemen führen könnten.

MyBMW-Remote-App-Sicherheit-Steuerung-BMW-i3-i8

So kritisiert Ken Munro beispielsweise, dass die meisten Nutzer einen User-Namen nach dem auch für Außenstehende nachvollziehbaren Schema Vorname.Nachname wählen und nicht ausdrücklich zur Wahl eines besonders sicheren Passworts aufgefordert werden. Hat man das Passwort vergessen und beantragt nach entsprechender Authorisierung ein neues Passwort, erhält man per Mail einen kurzen und daher vergleichsweise leicht zu knackenden Code aus fünf Kleinbuchstaben. Allerdings: Auch Ken Munro ist es nicht gelungen, ein Fahrzeug tatsächlich zu orten oder gar zu entsperren.

Auf Nachfrage von uns hat sich BMW ausführlich zur Sicherheit der My BMW Remote App geäußert und geht dabei auch auf die Schwachstellen ein, die Ken Munro in seinem Artikel adressiert:

Für BMW steht die Sicherheit unserer Kunden an oberster Stelle. Deshalb führen wir regelmäßig Tests durch und gehen auch allen an uns herangetragenen Hinweisen nach, um unsere Systeme laufend weiter zu entwickeln und stetig zu verbessern.

In dem ursprünglich adressierten Artikel geht der Autor von einem Szenario aus, das bis dato nicht stattgefunden hat, sondern erst einmal nur theoretischer Natur ist:

You could start a distributed attack against the Connected Drive and iRemote users, using the enumeration flaw and social media to discover valid users. [It could] cause enough of a fuss with repeated lockouts for BMW to consider urgent action, potentially removing the lockout function as a temporary measure to keep annoyed drivers from bombarding their call centres.

Dagegen betont der Artikel, dass alle wesentlichen Mechanismen zur Sicherheit von Kunden-Accounts vorhanden und sorgfältig designt sind. Als Bedrohung sieht der Verfasser die Möglichkeit, dass wir in einer Krisensituation Sicherheitsmechanismen abschalten könnten, was dann die eigentlichen Angriffe erst ermöglichen würde. Das haben wir bisher aber weder getan noch ist das je beabsichtigt.

Daneben wird bemerkt, dass BMW die Nutzung zu schwacher Passwörter erlaubt oder diese selbst ausgibt, sowie mit leicht erratbaren Nutzernamen die Ermittlung gültiger Accounts und damit lohnender Angriffsziele zu leicht macht. Diese Schwachstellen wurden im Rahmen der Neuausrichtung von ConnectedDrive bereits adressiert. Die Maßnahmen sind schon umgesetzt und werden nun sukzessive weltweit ausgerollt.

Konkret heißt das:

  • Stärkere Passwort-Policy fordert die Eingabe längerer Passworte (8 Zeichen)
    sowie alphanumerische Kombinationen
  • Der Passwort-Reset-Mechanismus sendet einen Reset-Link an die hinterlegte
    e-mail-Adresse; es findet kein SMS-Versand von temporären Reset-Passworten
    mehr statt
  • Der Kunde kann seinen Nutzernamen frei wählen, es wird keine Vorname.Nachname
    Kombination erzwungen.

Wie bereits erwähnt, hat die Sicherheit des Kunden bei BMW oberste Priorität und sobald derartige Probleme auftauchen, tun wir alles dafür, um zu einer schnellen Lösung zu gelangen. In diesem Fall wurden die genannten Verbesserungsmaßnahmen bereits proaktiv im Rahmen der laufenden Optimierungsschleifen definiert und umgesetzt. Die Lösungen, die wir erarbeitet haben, werden nun weltweit angewandt und umgesetzt.

4 responses to “My BMW Remote App: Sicherheit der Fernsteuerungs-App in der Kritik”

  1. jonni says:

    andere sind stärker, andere sind schneller, aber ich kann mein auto fernhupen!

  2. PHoel says:

    Das ist eh unnötig, braucht niemand, geht nur kaputt und man hätte sich schonmal denken können, das die Sicherheit da auch Miserabel ist.. Überall wo es geht wird ausspioniert, ist doch logisch, deshalb kommen die neuen Modelle bald auch nurnoch mit Überwachungsgeräten, damit die NSA etc. sehen, wo man wann hingefahren ist, zu welcher Party, was die Urlaubs Vorlieben sind, wann man zu schnell gefahren ist etc. Die Leute checken halt einfach nicht, was man gegen die Spionage tun kann oder es ist ihnen egal, ob ihre Emails etc. mitgelesen werden.. Liegen dann aber Briefe geöffnet in ihrem Briefkasten, schauen sie dumm. Alles das selbe.

  3. David says:

    Panikmache. Der hat zuviel “Stirb langsam 4” angeschaut 😀 Wenn die App wenigstens richtig funktionieren würde, dann hätte sich das Geld wenigstens gelohnt: Scheinbar dauert es meistens mehrere Minuten bis die gewünschte Funktion tatsächlich ausgelöst wird…. also leider zum angeben völlig ungeeignet.

  4. […] wie bei der MyBMW Remote App können nun auch DriveNow-Kunden den gewünschten BMW oder MINI ganz bequem per Smartphone öffnen […]

Leave a Reply

Your email address will not be published. Required fields are marked *

Find us on Facebook

BMW M4 DTM auf der Nordschleife
[Anzeige] Wer kann da schon cool bleiben? Bei der Shell Helix Heartbeat Challenge kommen die Teilnehmer an ihre Grenzen!
Tipp senden