Sicherheitslücke in BMW ConnectedDrive

[ingoh]

Infos z.B. hier: http://www.heise.de/.../BMW-ConnectedDrive-gehackt-2533601.html

LG Ingo

[Multimeter43279]

Zitat:

@frakal schrieb am 30. Januar 2015 um 16:11:25 Uhr:

 

Es ist überhaupt kein Problem, die festverbaute SIM-Card gegen eine Persönliche auszutauschen. Dann die gesendeten Daten an BMW mittels einer selbstprogrammierten Firewall (FW) abzublocken oder auf deinen eigenen Server umzuleiten.

Dies wäre nur vor einem Update möglich gewesen - und auch dann nur mit einem sehr großen Aufwand - immerhin muss der APN ja geändert werden oder so oder etc. Wenn ich es richtig verstanden habe, war dies nur ein Konfigurationsproblem. Wie dies unbemerkt bleiben konnte ist mir aber schleierhaft.

Eher Jurist als Informatiker, oder? Ich bin btw. kein echter Informatiker ;)

[Multimeter43279]

Zitat:

@Jens Zerl schrieb am 30. Januar 2015 um 19:19:41 Uhr:

 

Bei was musst Du mir widersprechen? Ich sage ja mehr oder weniger gerade, dass ein kommerzielles Produkt niemals die Sicherheit eines Open-Source-Produkts haben kann, ganz einfach weil die Testmöglichkeiten beschränkt sind.

Ich bin OpenSource Fan - würde dies aber nie unterschreiben. Open- und Closedsource haben Vor- und Nachteile.

[Multimeter43279]

Zitat:

@Jens Zerl schrieb am 30. Januar 2015 um 14:54:39 Uhr:

Zitat:

Natürlich wurden Sicherungssysteme eingebaut. Aber die Wahrheit ist schlicht, dass keine Firma seine Systeme so gut testen kann, um jede erdenkliche Sicherheitslücke auszuschließen.

Wie schon geschrieben - es war vermutlich ein Konfigurationsfehler. Schon ziemlich blöd ... Ich könnte mir auch vorstellen, dass dieser nicht schon immer da war sondern mit einem Update kam ...

[Multimeter43279]

Zitat:

@Jens Zerl schrieb am 31. Januar 2015 um 10:56:36 Uhr:

 

Der Rückschluss, dass (Abhör-)Sicherheit nur über HTTPS gewährleistet werden kann stimmt aber nicht. Man kann über HTTP auch proprietär verschlüsselte und signierte Daten übertragen und ich denke, dass BMW das auch so macht.

Ich gehe eher davon aus, dass man im eigenen Sicherheitsmechanismus eine Lücke entdeckt hat und diese jetzt einfach durch erneute HTTPS-Verschlüsselung unwirksam macht. Ich glaube aber nicht, dass die fehlende Aktivierung von HTTPS die eigentliche Sicherheitslücke war.

Sollte BMW dies tatsächlich getan haben, was ich doch extrem stark bezweifle, wäre das schlimmer als alles andere ... von wegen guter Programmierer und so ;)

[Multimeter43279]

Zitat:

@Jens Zerl schrieb am 31. Januar 2015 um 16:29:38 Uhr:

 

Wobei wir hier ja von mindestens zwei Verbindungen sprechen. Zum einen muss der Request vom Mobilgerät des Anwenders zum BMW-Server geschickt werden, zum anderen muss der BMW-Server dann einen Request an das Fahrzeug senden.

Ich hoffe doch sehr, nein.

;)

Also nein, ich hoffe nicht "nicht", sondern man kann dies technisch so nicht realisieren (feste IP, Europaweit etc. etc.)

.

Die Verbindungen gehen immer vom Auto aus und sind bidirektional. Ggf. werden Verbindungsaufforderungen per SMS versendet - aber im Zweifel fragt das Auto regelmäßig nach oder hat eine art Websocket offen - was natürlich relativ Teuer (Strom) sein würde.

[Jens Zerl]

Zitat:

@nordic-style schrieb am 4. Februar 2015 um 22:19:10 Uhr:

Zitat:

@Jens Zerl schrieb am 31. Januar 2015 um 16:29:38 Uhr:

 

Wobei wir hier ja von mindestens zwei Verbindungen sprechen. Zum einen muss der Request vom Mobilgerät des Anwenders zum BMW-Server geschickt werden, zum anderen muss der BMW-Server dann einen Request an das Fahrzeug senden.

Ich hoffe doch sehr, nein.

;)

Also nein, ich hoffe nicht "nicht", sondern man kann dies technisch so nicht realisieren (feste IP, Europaweit etc. etc.)

.

Die Verbindungen gehen immer vom Auto aus und sind bidirektional. Ggf. werden Verbindungsaufforderungen per SMS versendet - aber im Zweifel fragt das Auto regelmäßig nach oder hat eine art Websocket offen - was natürlich relativ Teuer (Strom) sein würde.

Verstehe nicht, was Du zum Ausdruck bringen willst.

Wenn Du die BMW-App nutzt, kommunizierst Du selbstverständlich mit dem BMW-Dienst und nicht mit Deinem Fahrzeug direkt. Diese Verbindung kann man genauso versuchen zu „faken“, was in diesem Fall aber wohl nicht das Problem ist.

Die Frage hier ist, wie der BMW-Dienst mit dem Fahrzeug kommuniziert. Und wenn BMW als Problemlösung angibt jetzt https zu benutzen um sicherzustellen, dass das Fahrzeug auch mit BMW kommuniziert und nicht mit einem Angreifer, dann bedeutet das ja implizit, dass dies vorher über HTTP möglich war und zwar von außen und nicht vom Fahrzeug initiiert. Dass man die Mobilfunverbindung vorher in Gang setzen muss, stimmt natürlich, aber die IP-Adresse ist hierbei nicht entscheidend, die wird beim Verbidnungsaufbau genauso vergeben, wie bei jeder anderen Datenverbindung über’s Mobilfunknetz auch.

Davon, dass BMW Fahrzeuge nicht einfach per fester IP-Adresse aufschließt gehehen wir hoffentlich beide aus. Ich hätte angenommen, dass BMW einen fahrzeugspezifischen Schlüssel mitschickt und dass ein Angreifer diesen Schlüssel abfangen muss, damit er das Fahrzeug öffnen kann. Dieses Risiko hat man dann wohl unterschätzt und sichert daher die Übertragung dieses Inhalts vom Server per HTTPS ab.

Allerdings sind die Beschreibungen der Sicherheitslücke in dieser Beziehung verständlicherweise nicht sehr ausführlich.

[Wumba]

So. Es wurde tatsächlich per unverschlüsseltem HTTP übertragen. Siehe die Erklärung hier

[Jens Zerl]

Zitat:

@Wumba schrieb am 5. Februar 2015 um 12:28:32 Uhr:

So. Es wurde tatsächlich per unverschlüsseltem HTTP übertragen. Siehe die Erklärung hier

Natürlich wurde es per unverschlüsseltem HTTP übertragen, genau das wurde ja überall berichtet. Die Frage ist aber nach wie vor WAS als "Öffnenbefehl" übertragen wird.

Die schreiben ja man könnte durch eine gefälschte SMS die Tür öffnen. Gegen eine gefälschte SMS kann man sich nicht per HTTPS schützen, von daher könnte ich mir nur vorstellen, dass in der SMS ein Schlüssel mitgesendet werden muss, der durch die in der Darstellung gezeigten offene HTTP-Verbindung zu irgend einem vorhergehenden Zeitpunkt abgefangen werden kann.

Da ja aber das Fahrzeug selbst diese HTTP-Übertragung durch eine ungefälschte SMS initiieren muss, bevor man sie abfangen kann, wäre die Gefahr schon sehr sehr abstrakt (wenn auch theoretisch vorhanden). Oder habe ich was übersehen?

@nordic-style: durch die Darstellung ist zumindest klar geworden, was Du gemeint hast. ;)

[Wumba]

Nein, die gefälschte SMS sagt dem Steuergerät lediglich, dass es sich mal beim BMW Server melden soll. Nach dieser gefälschten SMS verbindet sich dann das Steuergerät mit dem BMW Server. DAS ist HTTP/HHTPS. Die HTTP/S Verbindung steht nicht die ganze Zeit, sondern wird nur auf die Anfrage per SMS gestartet. Die SMS wirst du nach wie vor fälschen können. Der BMW bootet dann, startet seine Verbindung, und bekommt vom Server gesagt "veräppelt, ich habe nix für dich".

[Multimeter43279]

Zitat:

@Jens Zerl schrieb am 5. Februar 2015 um 11:21:18 Uhr:

 

Verstehe nicht, was Du zum Ausdruck bringen willst.

Ok - etwas ausführlicher - war übermüdet und schlecht drauf als ich das alles geschrieben habe - sorry:

(Ich gehe nur kurz auf DriveNow ein - alles andere bezieht sich auf ConnectedDrive - CD )

Der BMW-Server wird zu 99,9 % keine TCP/IP Verbindung zum Auto aufbauen. Ob HTTP(S) oder nicht ist erstmal egal, kann man als Beobachter von außen nur vermuten und sich auf die Aussagen von BMW verlassen. Wieso? :

A) Das Fahrzeug hat keine feste IP.

B) Das Fahrzeug hat keine öffentliche IP

Wie du schon im nächsten Post geschrieben hast, ist die Verknüpfung von mehreren Dingen notwendig.

Aber erstmal zum Szenario:

- Das Fahrzeug wird, außer per SMS, nicht von BMW direkt kontaktiert.

- Das Fahrzeug kontaktiert BMW vermutlich mehr oder weniger dauerhaft, wenn das Fahrzeug "gestartet" ist - also die Zündung an ist bzw ein Schlüssel erkannt wurde.

A) Dies geschieht vermutlich indem eine TCP Verbindung (Websocket oder ähnliches - da HTTP erwähnt wurde) offen gehalten wird.

B) Dies geschieht durch regelmäßig Anfragen welche an den Server gesendet werden (Polling).

Ist das Fahrzeug aus, geschieht die Kommunikation nur per SMS oder aber ebenfalls durch selteneres Polling. Ich würde letzteres vermuten: Aus Gesprächen mit dem DriveNow Kundenservice hat sich ergeben, dass sie anscheinend den Verbindungsstatus der Fahrzeuge sehen können. Bei SMS würde dies vermutlich nur eine sehr kleine Rolle spielen, da DriveNow Probleme immer in der Stadt bestanden und ich von einem guten GSM-Empfang in einer der DriveNow Stadt ausgehe. Ggf. nutzt DriveNow aber nicht das BMW Backend - würde ich aber vermuten.

Das Angriffsszenario ist daher nicht sehr aufwendig:

Man braucht:

- IMSI-Catcher (für man in the middle Angriffe im Mobilfunknetz)

K.a. wo man den her bekommt oder ob man den selber bauen kann - auf dem CCC gab es einen - recht scary so ein Ding. Die Polizei und Co. setzen diese gerne ein.

- SMS Service der beliebige Absender zulässt - oder man kann sogar mit dem IMSI-Catcher SMS faken - k.a.

Findet man online immer noch recht einfach.

- Wissen über den Aufbau der Kommunikation

Kommt automatisch über den IMSI Catcher - hier kann man dann auch problemlos die HTTP Anfragen mitschneiden und auswerten.

Man nimmt also ein BMW Fahrzeug mit CD und lässt es remote entriegeln. Schneidet den gesamten kram mit und macht sich an die Auswertung.

Man bekommt so:

SMS Aufbau und alle wichtigen Rufnummern

Den gesamten TCP/IP Verkehr IDs, Server Adressen etc. etc.

Hiermit geht man jetzt zu einem beliebigen CD Fahrzeug. "Fängt" es mit dem IMSI-Catcher, ermittelt die Rufnummer des Fahrzeuges und wartet auf Statusmeldungen vom Fahrzeug. Mit den hiermit gewonnen Daten kann man dann vermutlich die SMS zum öffnen des Fahrzeuges erstellen und das Fahrzeug öffnen.

Wenn man mit den Überlegungen soweit ist, kann man nur hoffen, das auch die SMS Verschlüsselt sind. Ansonsten würde die Umstellung auf HTTPS nur einen Kanal sichern. Alternativ kann natürlich auch das öffnen des Fahrzeuges über die HTTPS Verbindung laufen. Würde ich hinsichtlich des aktuellen Standes was Sicherheit im Mobilfunknetz betrifft sehr willkommen heißen.

Viele Grüße

 

------------------------------

[Multimeter43279]

Zitat:

@Wumba schrieb am 5. Februar 2015 um 17:32:17 Uhr:

Nein, die gefälschte SMS sagt dem Steuergerät lediglich, dass es sich mal beim BMW Server melden soll. Nach dieser gefälschten SMS verbindet sich dann das Steuergerät mit dem BMW Server. DAS ist HTTP/HHTPS. Die HTTP/S Verbindung steht nicht die ganze Zeit, sondern wird nur auf die Anfrage per SMS gestartet. Die SMS wirst du nach wie vor fälschen können. Der BMW bootet dann, startet seine Verbindung, und bekommt vom Server gesagt "veräppelt, ich habe nix für dich".

Das habe ich erst später gelesen. Wenn das so ist, wäre ein Angriff mit HTTP ja noch viel einfacher - per HTTPS dann relativ unmöglich - außer man kann signierte Zertifikate erstellen oder das Fahrzeug überprüft nicht die Signatur.

@Wumba: ok - hab heise gelesen - macht sinn. Krass.

[Jens Zerl]

Ok, macht alles Sinn. Ich glaube der Knackpunkt ist der zweite HTTP_GET vom BMW-Server zum Auto. Würde der Öffnen-Befehl nämlich im Response des ersten HTTP_GET vom Auto zum BMW-Server übertragen werden, wäre das ganze wohl auch ohne HTTPS sicher, weil dann dass Auto ja nur entscheiden würde, mit wem es kommuniziert.

@nordic-style: ich glaube der Verbindungsstatus kann auch einfach der Status sein, ob die SIM-Karte eingebucht ist, oder nicht.

[Multimeter43279]

Zitat:

@Jens Zerl schrieb am 5. Februar 2015 um 18:48:21 Uhr:

 

@nordic-style: ich glaube der Verbindungsstatus kann auch einfach der Status sein, ob die SIM-Karte eingebucht ist, oder nicht.

Natürlich. Aber in einer Großstadt sollte ein Auto mit spezieller Antenne keine Probleme im 3G und 2G Netz haben - egal wo. SMS können atm. nur im 2G und 3G Netz versendet und empfangen werden und die Anforderungen sind hier extrem niedrig. Dies sagt mir, dass die Anforderungen höher sind bzw. das es sich um eine Datenverbindung handelt wenn es Empfangsprobleme gibt.

[Achsmanschette42179]

Hier werfen sich die Informatiker mit technischen Fachausdrücken um die Ohren...

Viel wichtiger für mich als Informatik-Laie ist doch, wie ich mich und mein BMW heute und für die Zukunft schützen kann???

Wie sieht es Versicherungstechnisch aus, wenn mein Fahrzeug aufgrund solch einer Sicherheitslücke gestohlen oder beschädigt wird?

Wie und im welchen Umfang haftet BMW für dieses Manko im Falle eines oben genannten Vorfalles?

[Jens Zerl]

Zitat:

@Lacoste1 schrieb am 6. Februar 2015 um 04:11:02 Uhr:

Viel wichtiger für mich als Informatik-Laie ist doch, wie ich mich und mein BMW heute und für die Zukunft schützen kann???

Und das ist genau der Punkt: der Besitzer kann in dieser Beziehung gar nichts tun. Die SIM-Karte und Telematikdienste sind in jedem BMW eingebaut - wie sie genutzt werden liegt völlig außerhalb der Kontrolle des Besitzers.

Zitat:

Wie sieht es Versicherungstechnisch aus, wenn mein Fahrzeug aufgrund solch einer Sicherheitslücke gestohlen oder beschädigt wird?

Wie und im welchen Umfang haftet BMW für dieses Manko im Falle eines oben genannten Vorfalles?

In welchem Umfang haftet der Hersteller Deiner Haustür, wenn bei Dir eingebrochen wird? ;)