Sicherheitslücke in Begleit-App: Nissans Leaf kann aus der Ferne manipuliert werden

Nissans Elektroauto Leaf kann aus der Ferne manipuliert werden, weil eine Begleitapp nur eine Fahrzeugnummer als Authentifizierung nutzt. Sicherheitsrelevante Funktionen sind von der Lücke nicht betroffen, doch der Hersteller hat bislang noch kein Update bereitgestellt.

Artikel veröffentlicht am ,
Mit der Begleit-App des Leaf lassen sich einige Funktionen des Autos fernsteuern.
Mit der Begleit-App des Leaf lassen sich einige Funktionen des Autos fernsteuern. (Bild: Nissan)

Das Auto im Winter schon mal vorwärmen, wenn man von einem längeren Spaziergang zurückkommt? Eigentlich eine praktische Sache. Bei Nissans Elektroauto Leaf kann das über eine Begleitapp erledigt werden - aber leider nicht nur vom Besitzer selbst. Denn die App nutzt zur Authentifizierung gegenüber dem Auto lediglich eine Fahrzeugnummer. Über diese Sicherheitslücke berichtet der Hacker Troy Hunt jetzt in seinem Blog. Nissan sei vor mehr als einem Monat auf das Problem aufmerksam gemacht worden, habe aber bislang nicht mit einem Patch reagiert, schreibt Hunt.

Stellenmarkt
  1. Product Owner (w/m/d) Digitalisierung
    HanseVision GmbH, Hamburg
  2. Anwendungsberater / Experte (m/w/d) für M365
    Mainova AG, Frankfurt am Main
Detailsuche

Bei der Companion-App muss man sich mit der Vehicle Identification Nummer (VIN) registrieren. Diese VIN ist bei jedem Leaf in der Windschutzscheibe ablesbar. Weil nur die letzten fünf oder sechs Stellen der Nummer variabel seien, könnte man durch bloßes Ausprobieren verwundbare Autos finden, heißt es in dem Posting. Betroffen sind nur die Autos, bei denen der Fahrer die Companion-App selbst aktiviert hat. Wer einen Leaf hat, sollte also seinen Nissan-Carwings-Account bis auf weiteres deaktivieren, um Probleme zu vermeiden. Mit der Companion-App kann der Batteriestatus der Autos angezeigt werden, außerdem können einige Funktionen des Wagens gesteuert werden - zum Beispiel die Klimaanlage oder die Heizung. Sicherheitsrelevante Funktionen wie die Türverriegelung oder die Motorsteuerung können damit nicht manipuliert werden - doch die laxe Authentifizierung verwundert trotzdem. Die Funktionen der Companion-API lassen sich offenbar nicht nur über die App bedienen, sondern auch über einen Webbrowser.

Auch das Fahrtenbuch kann ausgelesen werden

Darüber hinaus lassen sich aus der App verschiedene Datensätze auslesen. Denn alle Fahrten mit dem Auto werden protokolliert - Datum, Uhrzeit, gefahrene Strecke und auch, wie effizient der Batteriestrom eingesetzt wurde. Bislang ist es zwar nicht möglich, den genauen Standort unmittelbar auszulesen, doch wenn eine Zuordnung des Leaf-Inhabers zu den Daten erfolgen kann, lässt sich ein durchaus detailliertes Bewegungsbild zeichnen.

Auf dem Mobile World Congress in Barcelona hat Nissan ein Update für die Companion-App vorgestellt: Künftig sollen auch der Standort des Autos aus der Ferne abrufbar und eine Analyse des Fahrverhaltens möglich sein.

Nissan-Foren diskutierten schon über den Fehler

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    9.–10. Februar 2022, virtuell
Weitere IT-Trainings

Hunt war nicht der erste, dem die Lücke aufgefallen war. In Nutzerforen in Kanada wurde bereits über das Problem diskutiert, bislang gab es aber kaum öffentliche Aufmerksamkeit - vermutlich ein Grund dafür, dass Nissan die Lücke noch nicht gepatcht hat.

Nach Angaben von Hunt wurde das Problem am 23. Januar 2016 erstmals an Nissan gemeldet, der Autobauer habe das Problem auch anerkannt. Eine Lösung gibt es bislang nicht. Die deutsche Pressestelle des Unternehmens war heute telefonisch nicht für eine Anfrage von Golem.de erreichbar.

Nachtrag vom 25. Februar 2016, 14:23 Uhr

Nissan hat die Schnittstellen vorübergehend deaktiviert, wie die BBC schreibt. Das Unternehmen bestreite, dass es zu Sicherheitsproblemen gekommen sei, heißt es in dem Bericht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Jede geteilte Warnung kostete 100 Euro

Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. EUV-Halbleiterfertigung: Intel kauft serientaugliches High-NA-System
    EUV-Halbleiterfertigung
    Intel kauft serientaugliches High-NA-System

    Über 300 Millionen US-Dollar für den modernsten EUV-Scanner von ASML: Intel will bei der High-NA-Halbleiterfertigung nicht hinten anstehen.

  3. Energiespeicher: Große Druckluftspeicher locken Investorengelder an
    Energiespeicher
    Große Druckluftspeicher locken Investorengelder an

    Hydrostor bietet eine langlebige Alternative zu Netzspeichern aus Akkus, die zumindest in den 2020er Jahren wirtschaftlich ist.
    Von Frank Wunderlich-Pfeiffer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Samsung 16GB DDR5-4800 199€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /