- Startseite
- Forum
- Auto
- BMW
- 3er
- F30, F31, F34 & F80
- IT-Sicherheit unserer BMWs
IT-Sicherheit unserer BMWs
Hi Leute,
das ist vielleicht etwas speziell (und auf Englisch) aber da ich es hier noch nicht gesehen hab dachte ich es könnte den ein oder anderen IT-Profi wie mich interessieren:
https://keenlab.tencent.com/en/...ssessment_of_BMW_Cars_by_KeenLab.pdf
Es handelt sich um den Bericht von IT-Security-Forschern aus China, der einige - teils gravierende - Sicherheitslücken und passende Angriffsszenarien auf verschiedene Systeme in BMW Fahrzeugen beschreibt.
Auch wenn unsere F30 nicht direkt getestet wurden, gehe ich davon aus, dass viele der Probleme trotzdem reproduzierbar sind. BMW hat einige der Probleme auch bestätigt (am Ende des PDF ist ein Brief von BMW) und arbeitet an Fixes. Bis 2019 wollen die Chinesen daher einige Exploits nicht voll veröffentlichen.
Bin mal gespannt, wie sich die Sache weiter entwickelt...
Gruß
Jan
Beste Antwort im Thema
Gefakte GSM-Basisstationen kann man meines Wissens mit wenig Aufwand und Geld selber bauen und die Endgeräte (wie der BMW) buchen sich dann automatisch ein, dann sitzt man zwischendrin. Man muss dann natürlich in der Nähe (aber nicht unbedingt daneben) sein
Ähnliche Themen
28 Antworten
Ja, wenn Ihnen das GSM-Netzwerk gehört oder sie vorher auch das gehackt haben......die Wahrscheinlichkeit, dass diese “Lücken“ verwendet werden, ist schon aufgrund des notwendigen Aufwands bei nahezu null.
Naja spätestens am Freitag wird dir BMW auf das Display ein paar Infos zum Datenschutz schicken. Wenn du nicht zustimmst, kein Motorstart *lol*.
Das wäre echt die Härte.
Gefakte GSM-Basisstationen kann man meines Wissens mit wenig Aufwand und Geld selber bauen und die Endgeräte (wie der BMW) buchen sich dann automatisch ein, dann sitzt man zwischendrin. Man muss dann natürlich in der Nähe (aber nicht unbedingt daneben) sein
Zitat:
@Celelawar schrieb am 23. Mai 2018 um 14:38:34 Uhr:
Ja, wenn Ihnen das GSM-Netzwerk gehört oder sie vorher auch das gehackt haben......die Wahrscheinlichkeit, dass diese “Lücken“ verwendet werden, ist schon aufgrund des notwendigen Aufwands bei nahezu null.
Der IT-Experte hat gesprochen! :p
Bei uns im Unternehmen war mal der Gründer von 8com.de zu Gast, der hat uns mal "auf die Schnelle" gezeigt, wie "klein" der Aufwand ist und wie schnell z. B. eine Identität gekapert werden kann.... :(
Und weil die Wahrscheinlichkeit "bei nahezu null" liegt, werden die Angriffspunkte für BMW aus der Untersuchung erst 2019 veröffentlicht, damit BMW noch gegensteuern kann.... :rolleyes:
Bei Ali (express.com) gibt es nicht nur Zierrat für die M-Optik... :D
Zitat:
@moonwalk schrieb am 23. Mai 2018 um 16:15:25 Uhr:
Der IT-Experte hat gesprochen! ??
Bei uns im Unternehmen war mal der Gründer von 8com.de zu Gast, der hat uns mal "auf die Schnelle" gezeigt, wie "klein" der Aufwand ist und wie schnell z. B. eine Identität gekapert werden kann.... ??
Und weil die Wahrscheinlichkeit "bei nahezu null" liegt, werden die Angriffspunkte für BMW aus der Untersuchung erst 2019 veröffentlicht, damit BMW noch gegensteuern kann.... ??
Bei Ali (express.com) gibt es nicht nur Zierrat für die M-Optik... ??
Interessante Schlussfolgerungen....
Gibt sicherlich eine ganze Horde von Menschen, die dieses Wissen besitzt vom Gründer von 8com.de......damals hat doch der ADAC das direkt veröffentlicht, wie man genau mit dieser Methode in die Autos kam. Und wie viele Fälle sind dadurch dann erst entstanden??
Es gibt echt genug Gründe, um auf dieser Welt Angst zu haben. Das ist für mich zumindest keiner.
Und wer glaubt, in Sicherheit zu sein, weil er das “deaktiviert“ hat.....ist ziemlich leichtgläubig.
Google hat sich doch letztes Jahr erst entschuldigt, dass einige Funktionen am Handy ganz aus Versehen doch aktiv waren.....obwohl die “Grafik“ oben zeigte, dass zum Beispiel Mobilfunk (Flug-Modus aktiv) deaktiviert war. Apple macht sowas bestimmt nicht.....und andere auch nicht. Echt lustig!
BMWs kann man viel einfacher klauen, wozu der ganze Aufwand, der ja gar keiner ist - ist ja ganz einfach!
Aber ein GSM-Netz faken, in das sich ein BMW dann einloggt......das ist trotzdem ganz schön doof, dass mein BMW das angeblich nicht merkt...... :(
Zitat:
@mbanck schrieb am 23. Mai 2018 um 14:52:33 Uhr:
Gefakte GSM-Basisstationen kann man meines Wissens mit wenig Aufwand und Geld selber bauen und die Endgeräte (wie der BMW) buchen sich dann automatisch ein, dann sitzt man zwischendrin. Man muss dann natürlich in der Nähe (aber nicht unbedingt daneben) sein
Dass die sich da einbuchen.....das ist der Fehler! Das darf nicht sein!
Zitat:
@Celelawar schrieb am 23. Mai 2018 um 17:29:17 Uhr:
Zitat:
@mbanck schrieb am 23. Mai 2018 um 14:52:33 Uhr:
Gefakte GSM-Basisstationen kann man meines Wissens mit wenig Aufwand und Geld selber bauen und die Endgeräte (wie der BMW) buchen sich dann automatisch ein, dann sitzt man zwischendrin. Man muss dann natürlich in der Nähe (aber nicht unbedingt daneben) sein
Dass die sich da einbuchen.....das ist der Fehler! Das darf nicht sein!
Hätte uns doch nur jemand gewarnt!!
Leider kann man den GSM-Standard jetzt nicht mehr ändern :-/
Also ich habe das Paper (noch) nicht gelesen, aber ich denke der richtige Ansatz wäre korrekte Verschlüsselung zwischen Auto und CD-Services, unter der Annahme, dass GSM kompromittiert ist.
Ich habe auch Mal in einem Vortrag von einem BMW ITler gesessen, der von einem Rechenzentrum in Island mit 100% Ökostrom erzählt hat, wo die Entwickler dann ihre CAD/Fluiddynamik Jobs zum Rechnen hinschicken. Auf Nachfrage hat er dann gemeint dass die Datenübertragung aus Performance-Gründen unverschlüsselt sei (wohl durch UK durch!), das war kurz vor Snowden. Keine Ahnung also ob das so ans Netz gegangen ist, aber es zeigt etwa die Haltung.
Zitat:
@Celelawar schrieb am 23. Mai 2018 um 17:28:06 Uhr:
Und wer glaubt, in Sicherheit zu sein, weil er das “deaktiviert“ hat.....ist ziemlich leichtgläubig.
Ich glaube das schon mal nicht, daher habe ich CD ja noch entgegen meiner Erklärung beim Kauf noch aktiv. Am liebsten wäre mir eine SIM-Karte, die man ausbauen kann, dann kann jeder selbst entscheiden...
Zitat:
@moonwalk schrieb am 23. Mai 2018 um 19:6:27 Uhr:
Am liebsten wäre mir eine SIM-Karte, die man ausbauen kann, dann kann jeder selbst entscheiden...
Ja, das sehe ich genauso!
Zitat:
@mbanck schrieb am 23. Mai 2018 um 17:30:34 Uhr:
Hätte uns doch nur jemand gewarnt!!
Leider kann man den GSM-Standard jetzt nicht mehr ändern :-/
Wie schützt sich denn Vodafone davor, dass T-Online-Kunden sich in deren GSM-Netz einloggen?? Ein Fremdkunde kann doch nicht einfach über ein fremdes GSM telefonieren und Internet nutzen!!
Ganz offensichtlich braucht man den Standard überhaupt nicht ändern.....der BMW müsste doch einfach nur prüfen, ob er sich im richtigen GSM oder einem Partner-GSM befindet.....
GSM ist so kaputt, da kann man sich als eine Art Proxy dazwischen klemmen und mitlesen bzw. abfangen und verändern. Dein BMW ist dabei ganz normal in sein Netz eingeloggt und merkt nix. Hier kannst du nachlesen,wie man das für kleines Geld und mit ein bisschen Bastelei machen kann: https://www.evilsocket.net/.../
Wenn das Medium als kompromittiert anzusehen ist hilft nur starke Ende zu Ende Verschlüsselung - aber sowas rüstet man nicht mal eben auf den "alten" Systemen und der Infrastruktur nach.
Okay.......das ist tatsächlich erschreckend....... :o :(
Authentifizierung (ist mein "Gesprächspartner" wirklich der, für den ich ihn halte?) ist eines der zentralen und sicherlich nicht trivialen Probleme der IT-Sicherheit, das muss man von Anfang an im Konzept mit drin haben. Ist bei GSM wohl nicht passiert.