In einer Untersuchung von Carsharing-Apps hat Kaspersky Lab eine Reihe von Sicherheitslücken entdeckt. Dadurch könnten Angreifer die Kontrolle über das Fahrzeug übernehmen, es ausspionieren, kostenlos damit fahren aber auch persönliche Daten anderer Nutzer stehlen und diese auf dem Schwarzmarkt weiterverkaufen. Außerdem könnten Cyberkriminelle unter dem Deckmantel einer anderen Identität illegale und gefährliche Aktionen auf den Straßen durchführen.

Die Experten haben 13 Carsharing-Anwendungen getestet, die von großen Herstellern in verschiedenen Märkten entwickelt wurden und in Google Play über eine Million Mal heruntergeladen wurden. Das Ergebnis: jede der untersuchten Apps enthielt mehrere Sicherheitsprobleme. Darüber hinaus schlagen bereits böswillige Nutzer Kapital aus gestohlenen Konten von Carsharing-Anwendungen.

Dies ist besonders besorgniserregend, da eine aktuelle Umfrage von Kaspersky Lab über Verbrauchereinstellungen zur App-Sicherheit zeigt, dass Nutzer Car-Apps weniger als Bedrohung im Vergleich zu anderen Apps wie Social Media, Messaging und Banking-Apps sehen – lediglich 10 Prozent der Befragten sehen Carsharing-Apps als nicht vertrauenswürdig.

Zu den Sicherheitslücken zählen:

• Kein Schutz vor Man-in-the-Middle-Angriffen: Der Nutzer glaubt zwar, mit einer legitimen Website verbunden zu sein, der Datenverkehr kann aber über die Website des Angreifers weitergeleitet werden, so dass er alle vom Opfer eingegebenen Daten wie Login, Passwort oder PIN erfassen kann.
• Kein Schutz vor Reverse Engineering von Anwendungen: Dadurch können Cyberkriminelle nachvollziehen, wie die App funktioniert, und eine Schwachstelle finden, um Zugriff auf die serverseitige Infrastruktur zu erhalten.
• Keine Erkennungsverfahren für Rooting: Root-Rechte bieten einem nahezu unbegrenzte Möglichkeiten und lassen die App schutzlos.
• Fehlender Schutz vor App-Overlay-Techniken: Schädliche Apps können so Phishing-Fenster anzeigen und die Anmeldeinformationen der Nutzer stehlen.
• Weniger als die Hälfte der Anwendungen verlangen starke Passwörter, was bedeutet, dass Cyberkriminelle das Opfer mittels eines einfachen Brute-Force-Szenarios angreifen können.