Sicherheitslücke in BMW ConnectedDrive
Infos z.B. hier: http://www.heise.de/.../BMW-ConnectedDrive-gehackt-2533601.html
LG Ingo
39 Antworten
@Jens Zerl: Nein, denn die Server Verbindung wird einfach mit einer IP hergestellt. Der Knackpunkt ist, dass man die IP sich selbst geben kann und sich dann der BMW mit meinem Server verbindet. Bei einer klassischen HTTP Verbindung gibt es keinen Nachweis, dass derjenige mit dem ich mich verbunden habe auch der ist mit dem ich mich verbinden wollte. Das ist genau das Problem. bei einer HTTPS Verbindung gibt es ein Zertifikat das nur der richtige Server besitzt. So kann ich eben genau feststellen, dass die Verbindung tatsächlich mit dem besteht den ich wollte. Genau das ist das Angriffsszenario.
@Lacoste1: Du kannst dich für die Zukunft nicht schützen. Es wird immer wieder Angriffe geben können, die dann auch durchkommen. Aber so einfach sollte es BMW den Angreifern natürlich nicht machen. Dieses spezielle Loch kannst du einfach damit behebn (oder hast es schon behoben), dass du an deinem Auto die Batterie angeschlossen lässt und einfach nur machen lässt. Das Update wurde/wird dann automatisch eingespielt. Versicherungstechnisch ist das eine gute Frage. Technisch gesehen können die Angreifer dein Auto nur betreten, nicht wegfahren. Der Inhalt, also z.B. das Navi (wie absurd, über das Navi einbrechen und das Navi mitnehmen...), wäre dann allerdings frei verfügbar. Was eine Versicherung dazu sagt, weiß ich nicht. Meiner Meinung nach müsste aber die Versicherung erstmal bezahlen und sich dann eventuell das Geld von BMW zurück holen, weil die grob fahrlässig eine Sicherheitslücke offen gelassen haben. Gerichtsurteile gibt es zu solchen Fällen aber sicherlich noch nicht. Wer da mit was durch kommt, das müsste dann erstmal jemand (wohl ein BMW Fahrer, weil zumindest die Audi Connected Services nur im Navi bleiben und nicht auf das ganze Auto zugreifen können) mit viel Geld und Geduld vor einem Gericht durchspielen.
Zitat:
@Wumba schrieb am 6. Februar 2015 um 08:04:40 Uhr:
@Jens Zerl: Nein, denn die Server Verbindung wird einfach mit einer IP hergestellt. Der Knackpunkt ist, dass man die IP sich selbst geben kann und sich dann der BMW mit meinem Server verbindet.
Nehmen wir an der BMW-Server hätte die IP-Adresse 222.222.222.222. Mit dieser verbindet sich das Fahrzeug per HTTP, nachdem es eine SMS bekommen hat, die es dazu auffordert.
Was genau muss ich jetzt tun, damit ich unter der IP Adresse 222.222.222.222 erreicht werde und nicht mehr BMW?
Heißt das, man gaukelt dem Fahrzeug mit dem IMSI-Catcher auch eine falsche Mobilfunkverbindung vor, damit dieses sich schon von vornherein mit meinem Netz, wo ich dann die IP 222.222.222.222 habe, verbindet?
Ich denke wahracheinlich sind mir einfach die Möglichkeiten diess Catchers nicht so ganz klar. Ev. war das bei BMW auch der Grund, warum sie dachten auf HTTPS verzichten zu können. 😉
Die IP Adresse zu faken ist eigentlich total simpel, auf der anderen Seite für dich nicht machbar. Normalerweise bist du per DSL Router/Modem mit dem Internet verbunden. Der bekommt automatisch eine IP zugeteilt. Darum kannst du mit solchen Anschlüssen die IP nicht so einfach faken. Geht auch, ist aber komplizierter.
Einfacher ist es mit Anschlüssen, die nicht über einen solchen Provider gehen. Das ist z.B. regelmässig der Fall, wenn du bei Hostern einen Server mietest. Die hängen nicht über einen Router im Internet, sondern relativ direkt im Internet. Bei diesen kannst du unter Windows in den Eigenschaften des IPv4 Protokolls die Adresse dann einfach ändern, oder unter Linux einen Befehl wie "ifconfig eth0 222.222.222.222" eingeben. Dann hast du die IP. Wer die Verbindung nun zugewiesen bekommt (es gibt ja jetzt zwei Rechner im Internet mit der gleichen Adresse) ist ein wenig von der aktuellen Route abhängig. Da kann man auch noch ein paar Eingriffe machen.
Insgesamt ist DAS ein Thema, das man nicht unbedingt hier diskutieren sollte, weil es den Rahmen extrem sprengt. Fakt ist: eine IP Adresse zu faken ist eine Sache von Millisekunden und für Experten Null Problemo. Für den, der nur Word und Internet Explorer verwenden kann, ist es definitiv ein Hinderungsgrund. Aber so jemand wird auch kaum Hackangriffe starten können.
Zitat:
@Wumba schrieb am 6. Februar 2015 um 09:24:54 Uhr:
Die IP Adresse zu faken ist eigentlich total simpel, auf der anderen Seite für dich nicht machbar. Normalerweise bist du per DSL Router/Modem mit dem Internet verbunden. Der bekommt automatisch eine IP zugeteilt. Darum kannst du mit solchen Anschlüssen die IP nicht so einfach faken. Geht auch, ist aber komplizierter.Einfacher ist es mit Anschlüssen, die nicht über einen solchen Provider gehen. Das ist z.B. regelmässig der Fall, wenn du bei Hostern einen Server mietest. Die hängen nicht über einen Router im Internet, sondern relativ direkt im Internet. Bei diesen kannst du unter Windows in den Eigenschaften des IPv4 Protokolls die Adresse dann einfach ändern, oder unter Linux einen Befehl wie "ifconfig eth0 222.222.222.222" eingeben. Dann hast du die IP. Wer die Verbindung nun zugewiesen bekommt (es gibt ja jetzt zwei Rechner im Internet mit der gleichen Adresse) ist ein wenig von der aktuellen Route abhängig. Da kann man auch noch ein paar Eingriffe machen.
Insgesamt ist DAS ein Thema, das man nicht unbedingt hier diskutieren sollte, weil es den Rahmen extrem sprengt. Fakt ist: eine IP Adresse zu faken ist eine Sache von Millisekunden und für Experten Null Problemo. Für den, der nur Word und Internet Explorer verwenden kann, ist es definitiv ein Hinderungsgrund. Aber so jemand wird auch kaum Hackangriffe starten können.
Einen Rechner direkt ohne Provider im Netz haben zu müssen ist aber schonmal ein gewaltiges Hindernis, von dem bei der Gefährlichkeit dieser Lücke nirgends berichtet wurde.
Deswegen finde ich es schon sinnvoll, dass man hier die technischen Details diskutieren sollte. Wen das nicht interessiert, der braucht's ja nicht zu lesen. 😉
Ähnliche Themen
Einen Server bei einem Hoster zu mieten ist eine Sache von 2-5€ im Monat. Ein gewaltiges Hindernis sehe ich da nicht. Aber so unterschiedlich sind eben die Betrachtungsweisen.
Zitat:
@Jens Zerl schrieb am 6. Februar 2015 um 07:26:42 Uhr:
In welchem Umfang haftet der Hersteller Deiner Haustür, wenn bei Dir eingebrochen wird? 😉
Versicherung zahlt voll. Der Hersteller hat so reagiert, wie es erwartet wird:
Sicherheitslücke gefunden
Sicherheitslücke geschlossen (erstaunlich schnell für so einen Konzern)
Ggf. muss sich der Konzern Fahrlässigkeit unterstellen lassen. Das soll dann aber die Versicherung diskutieren...
Denke das ist jetzt erstmal sicher - was aber anscheinend atm mehr Probleme macht ist Keyless go...
Zitat:
@Wumba schrieb am 6. Februar 2015 um 12:58:34 Uhr:
Einen Server bei einem Hoster zu mieten ist eine Sache von 2-5€ im Monat. Ein gewaltiges Hindernis sehe ich da nicht. Aber so unterschiedlich sind eben die Betrachtungsweisen.
Einen Server habe ich auch bei einem Hoster, aber ich bezweifle, dass ich da wirksam die IP-Adresse ändern kann. Kann's ja mal ausprobieren... 😉
Zitat:
@nordic-style schrieb am 6. Februar 2015 um 13:37:23 Uhr:
Ggf. muss sich der Konzern Fahrlässigkeit unterstellen lassen. Das soll dann aber die Versicherung diskutieren...
Wenn der Wagen weg ist, ist er ja sowieso weg, d.h. man weiß ja gar nicht, wie er abhanden gekommen ist. Wichtig ist nur, dass man noch zwei Schlüssel hat, denn sonst wird die Beweislage schwierig.
**doppelpost**
Mein Auto steht meist von Sonntag Abend bis Freitag früh in einer Tiefgarage, aus diesem Grund habe ich heute bei der im Artikel genannten Hotline angerufen.
Bei meinem Auto wurde (erst) am 31.01.15 https aktiviert.