Abo
  • Services:
Anzeige
Mit der Begleit-App des Leaf lassen sich einige Funktionen des Autos fernsteuern.
Mit der Begleit-App des Leaf lassen sich einige Funktionen des Autos fernsteuern. (Bild: Nissan)

Sicherheitslücke in Begleit-App: Nissans Leaf kann aus der Ferne manipuliert werden

Mit der Begleit-App des Leaf lassen sich einige Funktionen des Autos fernsteuern.
Mit der Begleit-App des Leaf lassen sich einige Funktionen des Autos fernsteuern. (Bild: Nissan)

Nissans Elektroauto Leaf kann aus der Ferne manipuliert werden, weil eine Begleitapp nur eine Fahrzeugnummer als Authentifizierung nutzt. Sicherheitsrelevante Funktionen sind von der Lücke nicht betroffen, doch der Hersteller hat bislang noch kein Update bereitgestellt.

Das Auto im Winter schon mal vorwärmen, wenn man von einem längeren Spaziergang zurückkommt? Eigentlich eine praktische Sache. Bei Nissans Elektroauto Leaf kann das über eine Begleitapp erledigt werden - aber leider nicht nur vom Besitzer selbst. Denn die App nutzt zur Authentifizierung gegenüber dem Auto lediglich eine Fahrzeugnummer. Über diese Sicherheitslücke berichtet der Hacker Troy Hunt jetzt in seinem Blog. Nissan sei vor mehr als einem Monat auf das Problem aufmerksam gemacht worden, habe aber bislang nicht mit einem Patch reagiert, schreibt Hunt.

Anzeige

Bei der Companion-App muss man sich mit der Vehicle Identification Nummer (VIN) registrieren. Diese VIN ist bei jedem Leaf in der Windschutzscheibe ablesbar. Weil nur die letzten fünf oder sechs Stellen der Nummer variabel seien, könnte man durch bloßes Ausprobieren verwundbare Autos finden, heißt es in dem Posting. Betroffen sind nur die Autos, bei denen der Fahrer die Companion-App selbst aktiviert hat. Wer einen Leaf hat, sollte also seinen Nissan-Carwings-Account bis auf weiteres deaktivieren, um Probleme zu vermeiden. Mit der Companion-App kann der Batteriestatus der Autos angezeigt werden, außerdem können einige Funktionen des Wagens gesteuert werden - zum Beispiel die Klimaanlage oder die Heizung. Sicherheitsrelevante Funktionen wie die Türverriegelung oder die Motorsteuerung können damit nicht manipuliert werden - doch die laxe Authentifizierung verwundert trotzdem. Die Funktionen der Companion-API lassen sich offenbar nicht nur über die App bedienen, sondern auch über einen Webbrowser.

Auch das Fahrtenbuch kann ausgelesen werden

Darüber hinaus lassen sich aus der App verschiedene Datensätze auslesen. Denn alle Fahrten mit dem Auto werden protokolliert - Datum, Uhrzeit, gefahrene Strecke und auch, wie effizient der Batteriestrom eingesetzt wurde. Bislang ist es zwar nicht möglich, den genauen Standort unmittelbar auszulesen, doch wenn eine Zuordnung des Leaf-Inhabers zu den Daten erfolgen kann, lässt sich ein durchaus detailliertes Bewegungsbild zeichnen.

Auf dem Mobile World Congress in Barcelona hat Nissan ein Update für die Companion-App vorgestellt: Künftig sollen auch der Standort des Autos aus der Ferne abrufbar und eine Analyse des Fahrverhaltens möglich sein.

Nissan-Foren diskutierten schon über den Fehler

Hunt war nicht der erste, dem die Lücke aufgefallen war. In Nutzerforen in Kanada wurde bereits über das Problem diskutiert, bislang gab es aber kaum öffentliche Aufmerksamkeit - vermutlich ein Grund dafür, dass Nissan die Lücke noch nicht gepatcht hat.

Nach Angaben von Hunt wurde das Problem am 23. Januar 2016 erstmals an Nissan gemeldet, der Autobauer habe das Problem auch anerkannt. Eine Lösung gibt es bislang nicht. Die deutsche Pressestelle des Unternehmens war heute telefonisch nicht für eine Anfrage von Golem.de erreichbar.

Nachtrag vom 25. Februar 2016, 14:23 Uhr

Nissan hat die Schnittstellen vorübergehend deaktiviert, wie die BBC schreibt. Das Unternehmen bestreite, dass es zu Sicherheitsproblemen gekommen sei, heißt es in dem Bericht.


eye home zur Startseite
jones1024 25. Feb 2016

Jaaa. Du hast absolut recht. Nichts ist sicher.

joit 24. Feb 2016

Ich finde den Leaf eh nicht so interessant von den Fahrwerten her. Hier kann man leicht...



Anzeige

Stellenmarkt
  1. GIGATRONIK München GmbH, München
  2. über OPTARES GmbH & Co. KG, Großraum München
  3. Robert Bosch GmbH, Leonberg
  4. Worldline GmbH, Aachen


Anzeige
Blu-ray-Angebote
  1. (u. a. Lone Survivor, Riddick, Homefront, Wild Card, 96 Hours Taken 2)
  2. (u. a. Jurassic World, Fast & Furious 7, Die Unfassbaren, Interstellar, Terminator 5)
  3. (u. a. The Expendables 3 Extended 7,29€, Fight Club 6,56€, Predator 1-3 Collection 24,99€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  2. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  3. Sicherheit

    Operas Server wurden angegriffen

  4. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  5. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  6. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  7. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie

  8. Gigabit-Breitband

    Google Fiber soll Alphabet zu teuer sein

  9. Google-Steuer

    EU-Kommission plädiert für europäisches Leistungsschutzrecht

  10. Code-Gründer Thomas Bachem

    "Wir wollen weg vom Frontalunterricht"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Radeon RX 460: AMDs kleinste Polaris-Karte braucht mehr Speicher
Radeon RX 460
AMDs kleinste Polaris-Karte braucht mehr Speicher
  1. Polaris-Grafikkarten Neuer Treiber steigert Bildrate in Tomb Raider
  2. Polaris-Grafikkarten AMD stellt Radeon RX 470 und RX 460 vor
  3. Radeon Pro SSG AMD zeigt Profi-Karte mit SSDs für ein TByte Videospeicher

Radeon RX 470 im Test: Die 1080p-Karte für High statt Ultra
Radeon RX 470 im Test
Die 1080p-Karte für High statt Ultra
  1. Radeons RX 480 Die Designs von AMDs Partnern takten höher - und konstanter
  2. Radeon Software 16.7.2 Neuer Grafiktreiber macht die RX 480 etwas schneller
  3. Radeon RX 480 erneut vermessen Treiber reduziert Stromstärke auf PEG-Slot

Garmin Vivosmart HR+ im Hands on: Das Sport-Computerchen
Garmin Vivosmart HR+ im Hands on
Das Sport-Computerchen
  1. Polar M600 Sechs LEDs für eine Pulsmessung
  2. Kluge Uhren Weltweiter Smartwatch-Markt bricht um ein Drittel ein
  3. Garmin Edge 820 Radcomputer zeigt Position der Tourbegleiter

  1. Re: Da sollten sich unsere Gewerkschaften...

    Prinzeumel | 18:35

  2. Re: Daten-GAU

    ranzassel | 18:28

  3. Re: Und ist das jetzt nicht in USA und...

    mziegler | 18:14

  4. Re: Finde nicht gut

    bombinho | 18:06

  5. browser nicht betroffen?

    jajagreat | 17:46


  1. 15:59

  2. 15:18

  3. 13:51

  4. 12:59

  5. 15:33

  6. 15:17

  7. 14:29

  8. 12:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel