Connected Drive Sicherheitslücke?

[Spiralschlauch47456]

http://www.heise.de/.../BMW-ConnectedDrive-gehackt-2533601.html

Habe eben bei BMW angerufen /Nummer im Artikel zu finden/.

Man sagte mir, es wäre bekannt.

Das Problem wäre aber schon vorher durch Ansteuerung des Autos behoben worden.

[waxx]

Zitat:

@radster schrieb am 30. Januar 2015 um 11:20:27 Uhr:

http://www.heise.de/.../BMW-ConnectedDrive-gehackt-2533601.html

Habe eben bei BMW angerufen /Nummer im Artikel zu finden/.

Man sagte mir, es wäre bekannt.

Das Problem wäre aber schon vorher durch Ansteuerung des Autos behoben worden.

Es drängt sich langsam wirklich der Verdacht auf, dass bei BMW die Featuritis auf Kosten der Softwarequalität geht. Es ist ja schön und gut, dass BMW bei den ganzen Onlinethemen ganz vorn dabei ist, aber in letzter Zeit häufen sich die gravierenden Pannen, siehe auch den Relaunch des Onlineportals, die Remote App etc.

[Spiralschlauch47456]

@ waxx

Sei doch froh, wenn sich BMW um vieles kümmert, auch wenn es der Kunde manchmal nicht merkt.

Das ist eben ein immenser Kostenapparat und der wird über den Kaufpreis weitergegeben.

Betrachte ich meine ehemalige Branche (Apotheke) so regiert dort nur noch der Sparstift.

Innovationen werden kaum noch von den GKV´s bezahlt, es sei denn man ist privat.

Und hier bist Du eben privat.

[waxx]

Zitat:

@radster schrieb am 30. Januar 2015 um 11:59:41 Uhr:

@ waxx

Sei doch froh, wenn sich BMW um vieles kümmert, auch wenn es der Kunde manchmal nicht merkt.

Das ist eben ein immenser Kostenapparat und der wird über den Kaufpreis weitergegeben.

Betrachte ich meine ehemalige Branche (Apotheke) so regiert dort nur noch der Sparstift.

Innovationen werden kaum noch von den GKV´s bezahlt, es sei denn man ist privat.

Und hier bist Du eben privat.

Ich finde es ja, wie gesagt, auch gut, dass BMW bei diesen Themen vorn dabei ist - bin ja selbst in der Softwarebranche. Aber es ist eben eine Sache ob ich irgendeine App wie z.B. einen Videoplayer buggy auf den Markt werfe oder ob hier Autos aufgemacht werden können oder Standheizungen wochenlang nicht richtig funktionieren. Dessen muss sich BMW eben bewusst sein. Mercedes hat diese Erfahrung auch machen müssen, nachdem bei der vorigen E-Klasse aufgrund von "unreifer" Software reihenweise die Autos stehengeblieben sind. Die Neuwagen, die ich seinerzeitig häufig da auf dem Standstreifen gesehen habe, sahen nicht sehr werbewirksam aus. Das Thema wurde dann auch in den Medien ausgeschlachtet, sodass Mercedes da heute wohl eher etwas überkonservativ vorgeht - bei deren Klientel ist das wohl das kleinere Übel.

[Federspanner133590]

Vor Bekanntwerden des Lücke hieß es in der App noch "Verbindung zum Fahrzeug wird hergestellt ..." oder so ähnlich. Seit kurzem heißt es "sichere Verbindung...". Der neue Text soll also dem User das Gefühl geben dass das Leck nun geschlossen ist. Vermute ich jedenfalls

Ich finds nur traurig dass es seitens BMW keine offizielle Stellungnahme oder Info gibt bzw. gegeben hat. Wäre ein leichtes z.b. per ConnectedDrive eine Meldung abzusetzen. So hat das Ganze für mich den faden Beigeschmack dass man eben nicht sicher sein kann, ob nun alles "safe" ist oder (noch) nicht. Der geänderte Text ist mir persönlich zu wenig und fällt eh nur auf wenn man genau hinschaut.

In Bayern sagt man zu sowas: "Nix genau's woas ma ned."

Und das ist nicht gerade beruhigend.

[FredMM]

Als Kunde hat man immer die Wahl: Wenn man dem System nicht traut, ConnectDrive einfach nicht ordern.

Aber jeder postet dicke auf Facebook oder Twitter dann vom Handy aus :) Das übermittelt auch deinen Standort und übermittelt alles an die Datenkraake bis hin zur letzten unbekannten Poobsfirma, die dich dann mit Werbung zumüllen

[Federspanner133590]

CD hat durchaus seine Vorzüge und besonders im Geschäftsleben möchte ich es nicht mehr missen. Zudem wars bei meinem Gebrauchten dabei. Das Problem ist aber nicht CD an sich, sondern die Fernbedienung per App und auf die könnte ich wirklich gerne verzichten.

Und ... Nur gut dass ich nicht "jeder" bin und weder einen FB noch Twitter Account habe. ;)

[BMWTUX]

Die Funktionen von Connected Drive haben einen schon einen gewissen Mehrwert, ich glaube das ist unbestritten. Aber die Art und Weise der Umsetzung mutet schon etwas dilettantisch an.

In dem genannten Artikel steht: "...Die Verwendung des HTTPS-Protokolls stelle nun sicher, dass die Daten verschlüsselt werden..." , das heisst wohl, dass vorher nur HTTP zum Einsatz kam. Das wäre nicht nur handwerklich absolut schlecht, sondern schon grob fahrlässig. So etwas darf einfach nicht passieren.

[Federspanner133590]

Mich würde mal interessieren ob diese Lücke (die ja bereits geschlossen sein soll) nur zum Problem werde konnte wenn man die Remote-App nutzte, oder ob Jeder mit entsprechendem Equipment,vollen Zugriff auf das Schließsystem erlangen konnte.

Wenns nur in Zusammenhang mit dieser App stand, waren doch Alle die sie nicht einsetzten eh auf der sicheren Seite. Oder sehe ich das falsch? Anders siehts aus wenn der Dienst ConnectedDrive und dessen Datenverkehr selbst angreifbar bzw. ausspähbar war und Hacker sich so Zugriff aufs Auto verschaffen konnten.

Weiß da jemand mehr Details dazu?

[Spurverbreiterung132718]

Genau deshalb erhoffe ich hier: Wo steckt die Sim Karte

eine Antwort.

Ich möchte meine SIM-Karte aus dem Fahrzeug entfernen.

[jukkarin]

Hallo,

Ich finde das nicht so dramatisch. Ein Profi kann jedes Auto in wenigen Sekunden öffnen. Das passiert viel leichter als durch CD zu hacken.

LG

Jukka

[steineschlepper]

Ich finde die Diskussion sehr spannend. Erstens da viele Menschen, Unternehmen und Organisationen merken, dass die doch so "sichere" Mobilfunk Kommunikation nicht so sicher ist wie erwartet und das man zweitens für die Sicherheit stets etwas machen muss. In diesem Sinne werde ich weiter viel Spass an meinem CD haben, die Remote App nicht benutzen, da mir die Bedienung der AHK fehlt und darauf vertrauen, dass BMW auch in Zukunft auf geeignete Massnahmen zurückgreift, um jeden Einzelnen vor Script Kids und unberechtigten Dritten zu schützen.

[Bell407]

Naja, es dürfter schon einen Grund gehabt haben, warum das CD Online Portal und die Remote APP diesen Herbst neu gelauncht wurden. Man musste Kennwörter ändern, das Fzg. bekam eine neue Registrierung im Portal (neuer Code im Fahrzeug) usw. usw. usw.

BMW wurde sehr früh über diese Lücke informiert und hat umgehend mit dem Dampfhammer reagiert und das Ding vermeindlich zugemacht (INFO BMW intern...)

Ein wenig peinlich ist es allerdings schon für BMW, das zuerst so fahrlässig mit dem Thema umgegangen wurde....

Jedes Auto ist zu knacken und zu klauen, nur der Lotus von 007 nicht... ok, der ist nach dem Knacken aber auch futsch ;-)

 

Grüße

Christian

[br403]

In der Motorwelt steht jetzt etwas mehr drin. Grundsätzlich finde ich es gut wenn man das Thema aufgedeckt hat, aber ich sehe da nicht so große Gefahr darin. Denn es muss ein IMSI Catcher verwendet werden um dem Auto eine Mobilfunkstation vorzugaukeln. Es wird ja kein WLAN oder ähnliches verwendet. Man kann so ein Gerät selbst bauen, ist aber schon ein recht hoher Aufwand...und um ein Auto zu knacken gibt es einfachere Methoden.

Aber trotzdem, gut das es aufgedeckt und behoben wurde.

[Federspanner133590]

Ich habe in der ECU "HU_NBT" unter "3003 TELEFON_TELEMATIK_ONLINE" einige Parameter gefunden deren Beschreibung darauf hindeutet, dass sich damit der Remote Zugriff auf bestimmte Funktionen aktivieren/deaktivieren lässt. Warum sonst sind diese Parameter im Bereich "Telefon, Telematik, Online" zu finden? Siehe Screenshot unten.

Was sagen die Codier-Experten dazu?

Besonders interessant dürfte der Parameter "RDU_CONTROL" (Remote Door Unlock) sein. Standardmäßig ist er "aktiv". Setzt man ihn nun auf "nicht_aktiv" sollte doch ein Öffnen der Tür per Remote-App nicht mehr möglich sein. Oder seh ich das falsch?

Edit:

Screenshot neu hochgeladen, habe beim ersten Versuch den falschen Screenshot erwischt.