"gefährliche" Sicherheitslücke bei Connected Drive ?!
Beste Antwort im Thema
Also, zu dem Thema.
Das Problem war hier eigentlich keine Sicherheitslücke im eigentlichen Sinne, sondern der Absender der Botschaften an CD in eurem Auto wurde nicht explizit gegengeprüft und eben unverschlüsselt durch den Ähter gingen.
Dann gibt es verschiedenartige Herangehensweisen die Verbindung zum Auto zu bekommen.
Ein IMSI-Catchter nutzt eine Schwäche in der "Idee" hinter Mobilfunknetzen aus.
Die gleiche Schwäche hat übrigens auch jedes WLan auf "unterster" Ebene.
Systeme buchen sich IMMER in die stärkste Signalquelle ein - der Man in the Middle sagt "hey, ich bin ein Funkturm" und stellt eigentlich nur eine Brücke zum eigentlichen Funkturm her und schneidet alles mit, was er da weiterleitet.
So kommt er an die IMSI der Sim-Karte im Auto - und kann wenn man die Daten, welche BWM zum Aufsperren schickt, auch im passenden Format ans Auto schicken.
Meiner Meinung nach braucht man also nicht einmal die VIN, wenn man die Geduld hat auf einen Mobilfunk-Poll abzuwarten ( so selten sind die nicht... ).
Da BMW hier auch die Firmware automatisch verbessert, scheint die SIM ja auch dann mit dem Mutterschiff Kontakt aufzunehmen, wenn Motor aus/Auto zu.
Sicherheitslücken kommen vor, das ist mir klar, das stört mich nicht weiter.
Teilweise ist die eingesetzt Elektronik steinalt ( zb. Bus ) und wir da mit neuen "schicki micki" Elektronik und Funktionen zusammengefrickelt.
2013 gabs bei SIGINT da einen sehr guten Vortrag ( mit grässlichem deutschen Akzent Englisch ) https://www.youtube.com/watch?v=M-EW-p--k50
Bei 29:30 legt er einen Audi lahm - für uns "Dreiecksfenster" Geschädigten.. .wir haben Glück, dass sie nur das Navi mitnehmen.
Bei dem Audi war es so: Auto öffnen, "Minitool" an CanBus stöpseln, Speicher im Auto löschen ( gespeicherte Schlüssel weg ), neue Schlüssel anmelden, wegfahren.
Da kommen noch ganz andere Lücken in Zukunft hoch.
Was mich aber wirklich stört:
mein BWM sagt mir nicht ob das Update eingespielt wurde und ich kann es auch nirgendwo in einer Versionsnummer abprüfen, sondern nur bei der Hotline anrufen.
65 Antworten
@rambello
Mir reichte der Beitrag von Kali69 voll und ganz zur Erklärung.
Zudem gefällt mir die anmaßende Art Deines Beitrags nicht.
Zitat:
@Kali69 schrieb am 30. Januar 2015 um 16:40:00 Uhr:
Was verstehst Du an dem Wikipedia Artikel nicht?Zitat:
@Rambello schrieb am 30. Januar 2015 um 16:36:29 Uhr:
Sehr, sehr, sehr schwache, durchsichtige Ausrede ...
Ich -und
bestimmt viele andere hier-
möchten von
Direine Erklärung über das
Zusammenwirken mit diesem "BMW-Fehler".
Einfach auf irgendeine Internetseite verweisen kann jeder. Da steht dazu auch gar nichts erklärt !
So wie Du Dich "windest", habe
ichden Eindruck, von Dir kommt nur heiße Luft, bzw. Du hast nicht die geringste Ahnung.
Vielleicht kann ja auch "RalphM" helfen, der kennt sich damit ja angeblich aus 😁
Ich bin/war ja, wie erklärt, gar nicht betroffen - aber
2,2 Millionenandere BMW-ler ...
Außerdem wüsste ich gerne, wo ich genau -im Gegensatz zu euch- mehr "anmaßend" war 😕
Zitat:
@Rambello schrieb am 30. Januar 2015 um 18:51:16 Uhr:
Ich bin/war ja, wie erklärt, gar nicht betroffen - aber 2,2 Millionen ander BMWler ...
Nö, der Fehler ist behoben, betroffen ist nun gar kein BMWler mehr.
Warum bringt dann Kali69 geheimnisvoll den "IMSI-Catcher" ins Gespräch ?
Das ist doch jetzt hier die (unbeantwortete) Frage !
Ähnliche Themen
IMSI-Catching ist eine Art der Man-In-The-Middle-Attacke
Wenn Dir jetzt das Knowhow oder die Fantasie fehlt was man damit anstellen kann, das ist das Dein Problem.
Ich habe Dir jetzt Techniken und Methoden stichwortartig aufgezeigt.
Mehr mach ich für Dich nicht.
"Ich" ??? Alle Techniken, alle Methoden aufgezeigt ??? Wo denn bitte ???
Zitat:
@Rambello schrieb am 30. Januar 2015 um 18:51:16 Uhr:
Ich -und bestimmt viele andere hier-Zitat:
@Kali69 schrieb am 30. Januar 2015 um 16:40:00 Uhr:
Was verstehst Du an dem Wikipedia Artikel nicht?
[..]
Hinweis: DAS meine ich mit "Sprachrohr" und "anmaßend".
Glaubst Du nicht, dass die "vielen anderen hier" willens und in der Lage sind, diesen Thread zu finden und SELBST ihre Fragen zu stellen, wenn sie Fragen haben?
Und ein Hinweis auf den Wikipedia-Eintrag zum "IMSI-Catcher" ist ein guter.
Das braucht man hier nicht noch extra nachzuerzählen.
Und für den Fall, dass die Info dort nicht richtig ist, kann man da noch entsprechend eine Info dazu geben.
Zitat:
@Rambello schrieb am 30. Januar 2015 um 19:14:04 Uhr:
Alle Techniken, alle Methoden aufgezeigt ??? Wo denn bitte ???
Ich bin mit Klez weiss Gott nicht immer einer Meinung, aber einer Aussage muss ich jetzt doch zustimmen:
"Du warst Projektleiter? Nie im Leben!"
Obwohl, ein Punkt würde dafür sprechen: Du willst immer alles vorgekaut bekommen.
So, So
Bei 2,2 Millionen Betroffener ist der Ausdruck "bestimmt viele andere hier"anmaßend ???
Alles klar ...
Zitat:
@Rambello schrieb am 30. Januar 2015 um 19:20:15 Uhr:
Bei 2,2 Millionen Betroffener ist der Ausdruck "bestimmt viele andere hier" anmaßend ???
Nein. Anmaßend ist dein Anspruch im Namen dieser 2,2 Millionen hier zu sprechen.
Ich hab dich jedenfalls schonmal nicht beauftragt 😉
? ? ? Ich spreche im Namen von denen ??? Es wird immer bizarrer hier - lustig !
Zitat:
@Mario540i schrieb am 30. Januar 2015 um 16:11:34 Uhr:
Das brauche ich heute schon nicht beweisen, da in jeder 2. Fernsehsendung gezeigt wird, wie ein Auto zerstörungsfrei geöffnet werden kann. Zur Not gibt es noch den ADAC Artikel gratis dazu.Zitat:
@Jens Zerl schrieb am 30. Januar 2015 um 14:26:59 Uhr:
Das Problem ist, dass dir die Versicherung auf diese Art und Weise unterstellen könnte das Fahrzeug nicht abgeschlossen zu haben. Wie beweist man jetzt das Gegenteil?
Gruß Mario
Hoffen wir, dass der Richter, der das dann verhandelt diese Sendung auch gesehen hat.
Zitat:
@Rambello schrieb am 30. Januar 2015 um 18:51:16 Uhr:
Ich -und bestimmt viele andere hier-Zitat:
@Kali69 schrieb am 30. Januar 2015 um 16:40:00 Uhr:
Was verstehst Du an dem Wikipedia Artikel nicht?
möchten von Dir eine Erklärung über das Zusammenwirken mit diesem "BMW-Fehler".
Einfach auf irgendeine Internetseite verweisen kann jeder. Da steht dazu auch gar nichts erklärt !
So wie Du Dich "windest", habe ich den Eindruck, von Dir kommt nur heiße Luft, bzw. Du hast nicht die geringste Ahnung.
Vielleicht kann ja auch "RalphM" helfen, der kennt sich damit ja angeblich aus 😁
Wo habe ich das behauptet? (Bitte mal den Beitrag mit Quellenangabe, Danke!)
Ich habe nur gesagt, dass mir die Erklärung genügt.
[..]
Zitat:
@Rambello schrieb am 30. Januar 2015 um 19:20:15 Uhr:
So, So
Bei 2,2 Millionen Betroffener ist der Ausdruck "bestimmt viele andere hier"anmaßend ???
Alles klar ...
Verstehendes Lesen ist nicht Deine Stärke?
Alles klar.
Ich versuche es nochmal: Du hast geschrieben: "Ich -und bestimmt viele andere hier- möchten von Dir eine Erklärung..."
Woher weisst Du, was die "vielen anderen hier" "bestimmt" "möchten"?
Hast Du sie vorher gefragt?
Jetzt "windest" (Deine Wortwahl) Du Dich bestimmt wieder raus.
So, ich bin jetzt aus diesem Thread raus.
Sorry für das viele OT hier von mir.
Falls ich jemanden dadurch verärgert habe, bitte ich in aller Form dafür um Entschuldigung.
Mein Popcorn ist alle. Bin jetzt auch weg. Wollte mich halt interessehalber weiterbilden.
Die zum Threadthema eingworfene "IMSI-Sache" bleibt also ungeklärt ... Heiße Luft ?!
Nur noch soviel dazu:
BMW weiß bei bestehender Funkverbindung immer auf einige Meter genau, wo unsere Autos sind.
Auch die geklauten ...