- Startseite
- Forum
- Auto
- BMW
- 4er
- F32, F33, F36, F82, F83
- Sicherheitslücke in BMW ConnectedDrive
Sicherheitslücke in BMW ConnectedDrive
Infos z.B. hier: http://www.heise.de/.../BMW-ConnectedDrive-gehackt-2533601.html
LG Ingo
Ähnliche Themen
39 Antworten
@ingoh
Vielen Dank für die Info. Da ist jeder gefragt, der ConnectedDrive an Bord hat. Ich habe es auch, also lasse ich es ausbauen. Ganz einfach....
Zitat:
@frakal schrieb am 30. Januar 2015 um 12:30:39 Uhr:
@ingoh
Vielen Dank für die Info. Da ist jeder gefragt, der ConnectedDrive an Bord hat. Ich habe es auch, also lasse ich es ausbauen. Ganz einfach....
Was lässt du ausbauen? Die sim Karte?
Offenbar wurde das Problem ja per Update behoben, verstehe die ganze Aufregung daher nur bedingt..
Ich verstehe die Aufregung ziemlich genau. Wie konnte BMW überhaupt so ein System verbauen ohne jegliche Sicherheit? Sowas müsste direkt Strafzahlungen nach sich ziehen, damit dem Hersteller klar wird, dass das so nicht geht. Ausbauen lassen ist natürlich die rabiate Methode, behebt auch das Problem, aber dann ist ja auch der erkaufte Vorteil weg. Keiner kauft sich ein Extra um es auszubauen. Das Update ist ja auch laut Bericht bereits seit längerer Zeit im Umlauf und sollte auf weitgehend allen Autos installiert sein. Trotzdem sollte jeder nachprüfen, ob es wirklich eingespielt ist, bevor das Auto nicht mehr da steht wo es hingehört.
Zitat:
@Heisenberg87 schrieb am 30. Januar 2015 um 13:27:51 Uhr:
Zitat:
@frakal schrieb am 30. Januar 2015 um 12:30:39 Uhr:
@ingoh
Vielen Dank für die Info. Da ist jeder gefragt, der ConnectedDrive an Bord hat. Ich habe es auch, also lasse ich es ausbauen. Ganz einfach....
Was lässt du ausbauen? Die sim Karte?
Offenbar wurde das Problem ja per Update behoben, verstehe die ganze Aufregung daher nur bedingt..
Ich denke dieser Vorfall sollte den Leuten endlich mal klar machen, dass wir die Kontrolle über unsere Fahrzeuge verlieren.
Nicht nur BMW, sondern auch Dritte können sich an unseren Fahrzeugen zu schaffen machen und auf Steuerung des Fahrzeugs, der GPS-Koordinaten und das Mikrofon des automatischen Notrufs zugreifen.
Immer? Nein, nicht immer. Aber das Hase- und Igelspiel läuft jetzt bei den Fahrzeugen genauso wie bei allen anderen Geräten, die am Netz hängen. D.h. die Wahrscheinlichkeit, dass wir unser Auto irgendwann mal nicht starten können ist genauso groß, wie dass bei Sony oder Adobe Kreditkarteninformationen gestohlen werden oder dass irgendwelche Spielekonsolen über Weihnachten nicht betriebsfähig sind, weil der Server gehackt wurde.
Zitat:
@Wumba schrieb am 30. Januar 2015 um 14:48:24 Uhr:
Ich verstehe die Aufregung ziemlich genau. Wie konnte BMW überhaupt so ein System verbauen ohne jegliche Sicherheit?
Natürlich wurden Sicherungssysteme eingebaut. Aber die Wahrheit ist schlicht, dass keine Firma seine Systeme so gut testen kann, um jede erdenkliche Sicherheitslücke auszuschließen.
Also ich muss sagen, dass ich nur noch auf so eine Nachricht gewartet habe. Selber bin ich Informatiker und Jurist.
Vor dem Kauf hat mir der Verkäufer freudestrahlend alle Möglichkeiten erklärt. Meine Konfiguration dieses Fahrzeugs kostete mich 91.000 und da wollte ich nun wissen, welche Möglichkeiten es gibt, wenn das Auto mal gestohlen wird.
Nach seinen Aussagen ist das kein Problem. Einfach BMW anrufen und das Auto Online stilllegen lassen und dort abholen wo es grade liegt.
Tolle Sache. Nun weis ich, dass diese Vorgehensweise nur mit einem richterlichen Beschluss funktioniert.
Ehe der Richter ausgeschlafen hat, ist das Auto in Polen dann brauche einen polnischen Richter. Ehe ich die Entscheidung habe, ist das Auto in Russland oder sonst wo.
Freudestrahlend erzählte mir dann auch noch der Verkäufer nach dem Kauf, wie er das Auto klauen würde. Einfach auf einen Tieflader, eine Aludecke über das Fahrzeug und das war es dann schon.
Technik ist solange gut, wie sie für uns und nicht gegen uns eingesetzt wird.
@ Heisenberg87 (toller Name :-))
Es ist überhaupt kein Problem, die festverbaute SIM-Card gegen eine Persönliche auszutauschen. Dann die gesendeten Daten an BMW mittels einer selbstprogrammierten Firewall (FW) abzublocken oder auf deinen eigenen Server umzuleiten.
Dann hast Du die Möglichkeit, auch ohne einen richterlichen Beschluss über Google Earth zu sehen, wo sich Dein Fahrzeug befindet.
Ich werde das jetzt einmal ausprobieren. In den AGB´s kann ich nichts derartiges entnehmen, dass es verboten sein soll. Warum auch, es ist ja mein Eigentum.
Selbst bei Leasing-Fahrzeugen dürfte das möglich sein, sofern in den Leasing-Verträge keine Unversehrtbarkeitsklausel aufgeführt ist. Das halte ich aber für ausgeschlossen, sonst dürfte man ja noch nicht einmal eine kaputte Lampe austauschen dürfen.
@Jens Zerl
Hier muss ich Dir leider widersprechen. Es handelt sich hierbei nicht um ein Open Source sonder um ein rein kommerzielles Projekt. Da sieht die Frage der Produkthaftung etwas anders aus.
Jedoch ist jede Software nur so gut wie sein Programmierer.
Zitat:
@Jens Zerl schrieb am 30. Januar 2015 um 14:53:00 Uhr:
Ich denke dieser Vorfall sollte den Leuten endlich mal klar machen, dass wir die Kontrolle über unsere Fahrzeuge verlieren.
Und das nicht erst seit gestern!
Zitat:
@frakal schrieb am 30. Januar 2015 um 16:11:25 Uhr:
Also ich muss sagen, dass ich nur noch auf so eine Nachricht gewartet habe. Selber bin ich Informatiker und Jurist.
Ich warte ehrlich gesagt noch auf etwas ganz anderes: Verkehrschaos durch gehackte Autos! Und dank Connected Drive und co muss man dafür noch nichtmal unbedingt das Auto angreifen, sondern kann z.B. auch über Android Smartphones auf die Autos zugreifen.
Was da klingt, wie Science-Fiction, ist leider heute schon möglich, doch glücklicherweise hat es bisher keiner so richtig böse ausgenutzt...scheinbar gibt es die Script-Kiddies der Millenium-Generation nicht mehr, die damals massenweise z.B. bestimmte Windows-Rechner lahmgelegt haben...
Mein Lieblingswagen wäre daher folgendermaßen:
Heckantrieb, 3 bis 4 L Hubraum (ohne Turbo- oder Kompressor-Aufladung, zwischen 250 und 400 PS), Xenon oder Voll-LED, manuelle gute Sportsitze, klassisches Radio (ggf. mit Freisprecheinrichtung), Klimaautomatik...und v.a. keine Vernetzungen und riesige Multimedia-Einheiten. hm...vielleicht sollte ich mir schnell noch einen Porsche Cayman oder 911 oder Nissan 370 Z kaufen ;)
Zitat:
@frakal schrieb am 30. Januar 2015 um 16:11:25 Uhr:
@Jens Zerl
Hier muss ich Dir leider widersprechen. Es handelt sich hierbei nicht um ein Open Source sonder um ein rein kommerzielles Projekt. Da sieht die Frage der Produkthaftung etwas anders aus.
Jedoch ist jede Software nur so gut wie sein Programmierer.
Bei was musst Du mir widersprechen? Ich sage ja mehr oder weniger gerade, dass ein kommerzielles Produkt niemals die Sicherheit eines Open-Source-Produkts haben kann, ganz einfach weil die Testmöglichkeiten beschränkt sind. Das heißt aber nicht, dass BMW sich von vornherein keine Gednaken über Sicherheit gemacht hätte, wie behauptet wurde.
Zitat:
@Jens Zerl schrieb am 30. Januar 2015 um 14:54:39 Uhr:
Zitat:
@Wumba schrieb am 30. Januar 2015 um 14:48:24 Uhr:
Ich verstehe die Aufregung ziemlich genau. Wie konnte BMW überhaupt so ein System verbauen ohne jegliche Sicherheit?
Natürlich wurden Sicherungssysteme eingebaut. Aber die Wahrheit ist schlicht, dass keine Firma seine Systeme so gut testen kann, um jede erdenkliche Sicherheitslücke auszuschließen.
Hast du gesehen, wie BMW das Problem behoben hat? Offenbar entweder nicht oder du hast es nicht verstanden. die haben HTTPS angeschaltet. Logische Schlussfolgerung: vorher war es unverschlüsseltes HTTP. Das wissen sogar Kinder aus dem Informatikunterricht seit mindestens einem Jahrzehnt, dass das Scheisse ist. Wahrscheinlich haben sie den Azubi aus dem Marketing entscheiden lassen welche Sicherheitsvorkehrungen aktiviert werden. Eingbaut war ja die Verschlüsselung, aber aktiviert hat sie niemand. Sowas ist nicht damit zu beantwortetn, dass "etwas nicht gut getestet wurde". Und das hier war nicht "jede erdenkliche Sicherheitslücke", sondern das ist die offensichtlichste Lücke im Bereich der Informatik überhaupt.
Ich denke, dass wir allesamt das Problem solcher Systeme erkannt haben, wenn sie missbraucht werden und die Gefahr ist mir einfach zu gross. Daher werde ich die Sache in meinem Sinn modifizieren.
Die grösste Gefahr wird wohl vom Staat ausgehen. Geschickter Weise warten sie wieder einmal ab, bis sich solche Systeme etabliert haben.
... Und dann werden sie zuschlagen, wenn du z.B. Deine KFZ-Steuer oder ein Ordnungsgeld nicht fristgemäss bezahlt hast. In solchen Fällen brauchen die Finanzämter noch nicht einmal einen richterlichen Beschluss, da sie sich selbst als vollstreckende Behörde eingesetzt haben (Staat im Staat).
Das ist übrigens auch der Grund, warum die Finanzämter in den verschiedenen Bundesländern die Eintreibung der GEZ-Gebühren übernommen haben.
Ich bin mir absolut sicher, dass in absehbarer Zeit ein Gesetz verabschiedet wird, welches solche Modifizierungen oder das Abschalten der Blackboxen im KFZ unter Strafe gestellt wird. Momentan ist das noch ein straffreier Raum, also handeln wir am Besten jetzt.
Zitat:
@Wumba schrieb am 30. Januar 2015 um 20:58:02 Uhr:
Zitat:
@Jens Zerl schrieb am 30. Januar 2015 um 14:54:39 Uhr:
Natürlich wurden Sicherungssysteme eingebaut. Aber die Wahrheit ist schlicht, dass keine Firma seine Systeme so gut testen kann, um jede erdenkliche Sicherheitslücke auszuschließen.
Hast du gesehen, wie BMW das Problem behoben hat? Offenbar entweder nicht oder du hast es nicht verstanden. die haben HTTPS angeschaltet. Logische Schlussfolgerung: vorher war es unverschlüsseltes HTTP. Das wissen sogar Kinder aus dem Informatikunterricht seit mindestens einem Jahrzehnt, dass das Scheisse ist. Wahrscheinlich haben sie den Azubi aus dem Marketing entscheiden lassen welche Sicherheitsvorkehrungen aktiviert werden. Eingbaut war ja die Verschlüsselung, aber aktiviert hat sie niemand. Sowas ist nicht damit zu beantwortetn, dass "etwas nicht gut getestet wurde". Und das hier war nicht "jede erdenkliche Sicherheitslücke", sondern das ist die offensichtlichste Lücke im Bereich der Informatik überhaupt.
Der Witz an der ganzen Sache ist, dass bereits vor Jahren die Problematik in einer Top Gear Folge thematisiert wurde, als die ganzen Möglichkeiten noch der Oberklasse vorenthalten waren, das Problem beim 7er aber schon vorlag. Mit anderen Worten: Man hat das Problem jahrelang einfach so hingenommen...
Zitat:
@frakal schrieb am 30. Januar 2015 um 22:55:19 Uhr:
Ich bin mir absolut sicher, dass in absehbarer Zeit ein Gesetz verabschiedet wird, welches solche Modifizierungen oder das Abschalten der Blackboxen im KFZ unter Strafe gestellt wird. Momentan ist das noch ein straffreier Raum, also handeln wir am Besten jetzt.
Tja, dann müsste es erstmal in JEDEM Auto eine solche Blackbox geben. Solange die Leute sich darauf nicht einlassen, kann der Staat da nicht viel machen. Es gilt also die eigenen Daten zu schützen!!! Gerade die jüngere Generation (U30) scheint das aber nicht zu verstehen...und das ist echt traurig...
Zitat:
@Wumba schrieb am 30. Januar 2015 um 20:58:02 Uhr:
Zitat:
@Jens Zerl schrieb am 30. Januar 2015 um 14:54:39 Uhr:
Natürlich wurden Sicherungssysteme eingebaut. Aber die Wahrheit ist schlicht, dass keine Firma seine Systeme so gut testen kann, um jede erdenkliche Sicherheitslücke auszuschließen.
Hast du gesehen, wie BMW das Problem behoben hat? Offenbar entweder nicht oder du hast es nicht verstanden. die haben HTTPS angeschaltet. Logische Schlussfolgerung: vorher war es unverschlüsseltes HTTP. Das wissen sogar Kinder aus dem Informatikunterricht seit mindestens einem Jahrzehnt, dass das Scheisse ist. Wahrscheinlich haben sie den Azubi aus dem Marketing entscheiden lassen welche Sicherheitsvorkehrungen aktiviert werden. Eingbaut war ja die Verschlüsselung, aber aktiviert hat sie niemand. Sowas ist nicht damit zu beantwortetn, dass "etwas nicht gut getestet wurde". Und das hier war nicht "jede erdenkliche Sicherheitslücke", sondern das ist die offensichtlichste Lücke im Bereich der Informatik überhaupt.
Der Rückschluss, dass (Abhör-)Sicherheit nur über HTTPS gewährleistet werden kann stimmt aber nicht. Man kann über HTTP auch proprietär verschlüsselte und signierte Daten übertragen und ich denke, dass BMW das auch so macht.
Ich gehe eher davon aus, dass man im eigenen Sicherheitsmechanismus eine Lücke entdeckt hat und diese jetzt einfach durch erneute HTTPS-Verschlüsselung unwirksam macht. Ich glaube aber nicht, dass die fehlende Aktivierung von HTTPS die eigentliche Sicherheitslücke war.
Mag sein dass du es nicht glaubst. Steht aber da.
Zitat:
Die Verwendung des HTTPS-Protokolls stelle nun sicher, dass die Daten verschlüsselt werden und die Identität des BMW-Servers geprüft werden könne.
Und wenn das proprietäre Verschlüsselungssystem das nicht auf die Reihe bekommt (verschlüsselt und die Identität prüfen), dann war es nicht wirklich brauchbar.
Zitat:
@Wumba schrieb am 31. Januar 2015 um 11:51:35 Uhr:
Mag sein dass du es nicht glaubst. Steht aber da.
Zitat:
@Wumba schrieb am 31. Januar 2015 um 11:51:35 Uhr:
Zitat:
Die Verwendung des HTTPS-Protokolls stelle nun sicher, dass die Daten verschlüsselt werden und die Identität des BMW-Servers geprüft werden könne.
Und wenn das proprietäre Verschlüsselungssystem das nicht auf die Reihe bekommt (verschlüsselt und die Identität prüfen), dann war es nicht wirklich brauchbar.
Wobei wir hier ja von mindestens zwei Verbindungen sprechen. Zum einen muss der Request vom Mobilgerät des Anwenders zum BMW-Server geschickt werden, zum anderen muss der BMW-Server dann einen Request an das Fahrzeug senden. Ev. hat man sich bzgl. der Sicherungsmaßnahmen nur auf die erste Verbindung beschränkt und übersehen, dass man den BMW-Request auch direkt faken könnte.