Stealerlogs und ihre Gefahr für die Automobilbranche: Wie Hacker durch gestohlene Logindaten Zugriff auf Fahrzeugfunktionen erlangen können

Stealerlogs stellen eine erhebliche Gefahr für die Automobilbranche dar. Gestohlene Logindaten ermöglichen es Angreifern, Fahrzeuge zu öffnen, zu starten und den Standort zu überwachen. Der Beitrag beleuchtet betroffene Hersteller, Schwachstellen in Fahrzeug-Apps und Maßnahmen, um unbefugten Zugriff zu verhindern. ZDF WISO berichtete am 09.12.24 hierzu im TV.

Lesezeit:

7 min

Share

In den letzten Wochen haben wir bei Identeco eine beunruhigende Entdeckung gemacht. In den Stealerlogs, die wir aus verschiedenen Quellen gesammelt haben, sind uns ungewöhnliche Muster aufgefallen, die insbesondere die Automobilbranche betreffen. Aber was genau ist ein Stealerlog und warum sollte es uns alle beunruhigen?

Das ZDF-Verbrauchermagazin WISO berichtete in seiner Sendung darüber und beschrieb, wie man mit Benutzername und Passwort moderne Fahrzeuge öffnen, den Standort einsehen und teilweise sogar wegfahren kann. Zusammen mit unseren Experten Matthias Wübbeling und René Neff wurde die konkrete Betroffenheit bisher unwissender Autobesitzer anhand mehrerer Beispiele dargestellt. Die Sendung von ZDF WISO vom 09.12.2024 ist in der ZDF Mediathek abrufbar: ZDF WISO in der ZDF Mediathek.

Mit minimalem Aufwand ein Fahrzeug stehlen?

Stell dir vor, du bist ein Angreifer mit Zugang zu einer Sammlung gestohlener Anmeldedaten. Du musst kein Technikexperte sein, um mit den Daten etwas anzufangen - die meisten Informationen sind leicht zugänglich und erfordern keine tiefgreifenden technischen Kenntnisse. Man findet eine E-Mail-Adresse und ein Passwort. Das Interessante an dieser speziellen Sammlung ist aber nicht nur die Kombination dieser Anmeldedaten, sondern auch die Website oder App, auf der sie verwendet werden können. Dir fallen die Namen der Autohersteller auf.

Mit diesen wenigen Informationen kannst du gezielt vorgehen. Du weißt nun, dass die gestohlenen Logindaten zu einer Fahrzeug-App gehören - zum Beispiel von Tesla, BMW oder Ford. Ein kurzer Blick auf die Apps im App Store und schon hast du Zugang zum Auto. Zuerst findest du mit einem Klick über die Standortabfrage heraus, wo sich das Fahrzeug befindet. Du kannst in Ruhe warten, bis es in deiner Nähe ist, oder gezielt dorthin fahren. Ist es zu weit weg, schickst du einen Komplizen zum Fahrzeug. Dort angekommen, kannst du das Fahrzeug öffnen, einsteigen oder die Notebooktasche aus dem Kofferraum nehmen. In einigen Fällen kannst du das Fahrzeug dank der modernen und komfortablen “Keyless”-Funktion auch ohne physischen Schlüssel starten und damit wegfahren.

Mit minimalem Aufwand ein Fahrzeug stehlen!

Es ist wirklich so erschreckend einfach: Mit der E-Mail-Adresse und dem Passwort, die du aus dem Stealerlog entnommen hast, loggst du dich einfach in die App des Fahrzeugbesitzers ein. Keine besonderen Fähigkeiten erforderlich – nur ein wenig Geduld und das Wissen, was die Domain bedeutet. Der Login funktioniert problemlos, und das Fahrzeug oder der Inhalt des Fahrzeugs sind in deinem Besitz.

Der Fahrzeughalter weiß von nichts

Der Fahrzeughalter merkt von alle dem nichts, außer dass sein Auto oder Wertgegenstände wie die Notebooktasche irgendwann einfach verschwunden sind. Der Angreifer hat keine Spuren hinterlassen. Es erfolgte keine Benachrichtigungen über einen Login mit einem neuen Gerät, keine Warnung – Fahrzeug oder Wertgegenstände sind einfach weg. Für den Besitzer fühlt es sich an, als ob das Fahrzeug oder der sicher geglaubte Inhalt einfach verschwunden ist.

Was ist ein Stealerlog und warum ist es gefährlich?

Ein Stealerlog ist eine Sammlung von Logindaten, die weit über die klassischen Account-Leak-Daten hinausgeht. In einem typischen Leak findet man oft nur eine Kombination aus E-Mail-Adresse und Passwort. Bei Stealerlogs jedoch sind zusätzlich die Webseite oder App der jeweiligen Plattformen aufgeführt, für die diese Kombination genutzt wird. Dies bedeutet, dass Hacker nicht nur die Logindaten eines Nutzers haben, sondern auch genau wissen, bei welchen Diensten diese Daten verwendet werden – etwa für einen E-Mailaccount, ein soziales Netzwerk oder in unserem Fall, für eine Fahrzeug-App.

Wie können gestohlene Logindaten den Zugriff auf Fahrzeugfunktionen ermöglichen?

Was diese Stealerlogs besonders gefährlich macht, ist die Entdeckung von gestohlenen Logindaten, die zu verschiedenen Apps von Automobilherstellern gehören. Diese Apps bieten inzwischen nicht nur eine einfache Möglichkeit, das Fahrzeug zu überwachen, sondern auch Funktionen wie das Öffnen, Starten und sogar das Fahren von Autos durch sogenannte “Keyless”-Systeme.

Mit einer Kombination aus gültigen Logindaten und der im Zusammenhang gefundenen Domain können Angreifer auf die spezifische App des Fahrzeugs schließen und dadurch potenziell Zugriff auf Fahrzeugfunktionen erlangen. Was bedeutet das im Detail? In einer von uns durchgeführten Untersuchung haben wir mehrere Apps großer Automobilhersteller genauer unter die Lupe genommen. Unser Ziel war es herauszufinden, wie viel Zugriff ein Angreifer allein mit einem gültigen Login und einem “App-Schlüssel” erhalten kann.

Wie funktioniert das Keyless- oder App-basierte Fahren?

Ein Großteil moderner Fahrzeuge wird heute über Apps gesteuert. Das sogenannte “Keyless” oder “App-basierte” Fahren ermöglicht es Nutzern, ihr Fahrzeug zu entriegeln und zu starten, ohne einen physischen Schlüssel zu benötigen. Stattdessen wird die Verbindung über eine App hergestellt, die mit dem Fahrzeug kommuniziert.

Leider haben wir bei unserer Untersuchung herausgefunden, dass solche Apps oft mehr Zugang zu Fahrzeugfunktionen gewähren, als man zunächst erwarten würde – und das mit einer einzigen Kombination aus E-Mail-Adresse und Passwort. Dies stellt ein erhebliches Sicherheitsrisiko dar, da Angreifer mit einfachen Methoden in der Lage sind, Fahrzeuge zu stehlen oder die Fahrzeugfunktionen zu manipulieren, ohne dass ein physischer Schlüssel zum Auto notwendig ist.

Welche Automobilhersteller sind betroffen?

Um den Umfang dieser Bedrohung besser zu verstehen, haben wir uns auf die Apps führender Automobilhersteller konzentriert. Unsere Untersuchung umfasst die folgenden Hersteller und deren Fahrzeug-Apps:

• Tesla
• Ford
• BMW Group (inkl. BMW und Mini)
• VW Group (Skoda, VW, Audi, Seat)
• Toyota
• Hyundai
• MG

Was haben wir herausgefunden?

Bei der Analyse dieser Accounts haben wir festgestellt, dass die Apps der Automobilhersteller – mit einer gültigen Kombination aus Logindaten – in vielen Fällen einen Zugang zu weit mehr Funktionen als erwartet bieten. Insbesondere ermöglicht der Zugriff auf Fahrzeugfunktionen wie das Öffnen des Autos, Starten des Motors oder sogar das Tracking des Standorts des Fahrzeugs. In einigen Fällen hätten Angreifer mit diesen Daten die Kontrolle über das Fahrzeug selbst übernehmen können.

Wir haben auch Unterschiede zwischen den Apps der Automobilhersteller beobachtet, insbesondere in Bezug auf den Einsatz von PINs und Benachrichtigungen:

PIN-Schutz

• Tesla: Die PIN schützt die Funktion des Fahrens, kann jedoch durch die “PIN vergessen”-Funktion und Eingabe der Account-Daten deaktiviert werden.
• BMW/Mini: Hier wird eine PIN verlangt, die jedoch nur in der App gesetzt wird und daher auch vom Angreifer selbst festgelegt werden kann.
• Volkswagen/Seat/Audi: Diese Marken verwenden eine fahrzeugspezifische (s-)PIN, was einen besseren Schutz darstellt.

Benachrichtigungen bei unbefugtem Zugriff

• Mercedes: Verschickt E-Mails für jede Login-Aktivität. Allerdings ermöglicht der Zugriff auf das E-Mail-Konto durch einen Angreifer damit auch die vollständige Übernahme des Mercedes-Kontos.
• Toyota: Sendet konsequent Push-Nachrichten bei fast allen wichtigen Ereignissen an alle aktiven Apps, was die Bedrohung deutlich eingrenzen kann.
• BMW und Ford: Wir haben beim Ausprobieren keine Benachrichtigung erhalten, was die Entdeckung eines Angriffs erheblich erschwert.
• Tesla: Verschickt Push-Nachrichten an den Fahrzeughalter, jedoch kann der Angreifer diese Nachrichten in der App als “gelesen” markieren, wodurch die Benachrichtigung wirkungslos wird. Eine E-Mail Benachrichtigung erfolgt nur beim Freigaben eines neuen Accounts für ein Fahrzeug, ein Angreifer nutzt aber explizit einen existierenden Account.

Warum ist das ein Problem?

Account-Takeover-Angriffe sind nicht neu, aber sie nehmen in letzter Zeit zu, insbesondere in Verbindung mit Stealerlogs. Angreifer können mit gestohlenen Logindaten nicht nur auf Online-Dienste, Webseiten und Apps zugreifen, sondern auch in einige unerwartete Bereiche des täglichen Lebens vordringen – in diesem Fall, in Fahrzeuge. Die zunehmende Vernetzung von Autos und die zunehmende Nutzung von Apps zur Steuerung dieser Fahrzeuge schaffen neue Angriffsmöglichkeiten für Kriminelle.

Wie können Benutzer sich schützen?

Die Sicherheit von Online-Konten ist von größter Bedeutung, insbesondere in einer Zeit, in der immer mehr persönliche Geräte und Dienstleistungen über Apps zugänglich sind. Fahrzeughersteller müssen verstärkt auf die Sicherheit ihrer App- und Fahrzeug-Integrationen achten, um das Ausnutzen solcher Stealerlogs und die daraus resultierenden Bedrohungen zu minimieren. Benutzer sollten zusätzlich sicherstellen, dass sie ihre Betroffenheit von Datenleaks regelmäßig kontrollieren (z.B. mit dem Leak Inspector von Identeco oder dem Leak Checker der Uni Bonn), Zwei-Faktor-Authentifizierung (2FA) aktivieren und im Falle von Sicherheitsvorfällen schnell handeln.

Mit Identeco schützen wir Verbraucher und Anbieter von Online-Diensten, Webseiten und Apps, in dem wir solche Bedrohungen identifizieren und Lösungen dafür entwickeln. Bleiben Sie wachsam und schützen Sie Ihre Daten – nicht nur, um Ihre Accounts zu sichern, sondern auch, um Ihre Fahrzeuge und persönlichen Geräte vor unbefugtem Zugriff zu bewahren.