Das Problem ist die App: Über die iOS-Anwendung iRemote und das dazugehörige Portal ConnectedDrive könnten Hacker Türen und Fenster des Elektroautos i3 und des Plug-in-Sportlers i8 öffnen und die Fahrzeuge orten. Der Sicherheitsanalyst Ken Munro nutzte eine Kette von Schwachstellen aus, um unbefugt auf die Fahrzeuge zugreifen zu können, berichtet das IT-Magazin Chip.
Zunächst brauche Munro den Benutzernamen. Wohl ein leichtes, da BMW die Usernamen der iRemote-App im Format „Vorname.Nachname“ automatisch vergebe. Als Angreifer könne man, etwa auf Facebook oder Twitter schreibende, i3- und i8-Besitzer leicht ausmachen. Über die Passworteingabe lasse sich dann verifizieren, ob ein Name tatsächlich für einen iRemote-Account existiert: Bei einem vorhandenen Usernamen wird nach fünf falschen Passworteingaben der Account gesperrt.
Nun nutze Munro Schwachstelle zwei aus: BMW verschicke bei einer Sperre des Accounts ein nur fünf Buchstaben langes Reset-Passwort, welches sich per Brute-Force-Attacken leicht knacken lasse, da es immer einige User gibt, welche Reset-Passwörter nicht ändern und mit diesen relativ unsicher unterwegs sind. Munro führte diesen Test erfolgreich am BMW i3 eines Freundes durch.
Bekanntes Problem, von BMW bereits gelöst
Auf Anfrage von Chip versicherte die Pressesprecherin für ConnectedDrive bei BMW, Silke Brigl, dass diese Schwachstellen während standardmäßigen Optimierungsläufen bereits entdeckt und behoben worden seien, schon vor der Veröffentlichung von Munros Sicherheitsanalyse. Die Neuerungen würden nun nach und nach weltweit ausgerollt.
Passwörter für iRemote müssen demnach fortan mindestens 8 Zeichen lang sein und Buchstaben und Zahlen kombinieren. Auch werde man keine unsicheren Reset-Codes mehr über SMS verschicken, sondern lediglich einen Reset-Link per E-Mail. Und auch der Username könne nicht mehr so einfach erraten werden, da er künftig frei wählbar sei und nicht mehr aus Vorname und Nachname bestehe.
Erst kürzlich hatte BMW die Sicherheit von iRemote mit einer zusätzlichen PIN-Sperre erhöht. Damit sollen die App und somit auch das Auto im Falle eines Handy-Verlustes sicher sein.