Fürchtet Ihr Euch noch immer nicht vor dem „Internet der Dinge”?

Es ging ja durch alle Medien. Das in BMWs, Minis und Rolls zum Einsatz kommende „ConnectedDrive”, schickte seine Daten unverschlüsselt (also via HTTP) über das Mobilfunknetz. Der ADAC listet die folgenden Sicherheitslücken auf:

  1. Remote Services: unberechtigtes Ausführen von Fern-Funktionen, z. B. Türöffnen
  2. Last State Call: Auskundschaften von Fahrzeugstandort und Verriegelungszustand
  3. Real Time Traffic Informations (RTTI): Mitlesen aktueller Fahrzeugstandorte und z. B. gefahrene Geschwindigkeiten, Tracking von Fahrzeugen (Die Versicherungen freuen sich)
  4. Intelligenter Notruf: im Steuergerät hinterlegte Rufnummern, z. B. für Notrufe, können verändert werden
  5. BMW Online: Mitlesen von privaten E-Mails (Die NSA dankt)

Dieter Spaar vom c’t (Abo abschließen, die haben es verdient!) hat dann nochmal nachgefasst:

Unklar ist, warum BMW die DES-Verschlüsselung benutzt, denn dieser Algorithmus gilt seit Langem als gebrochen.

Nach dem erfolgreichen Entschlüsseln und Dekodieren der Notruf-SMS setzte ich die Untersuchung am Fahrzeug fort

Die Kommunikation zwischen Fahrzeug und BMW-Backend ließ sich im simulierten Mobilfunknetze problemlos mitschneiden. Denn das Fahrzeug schickte einen einfachen HTTP-GET-Request an den Server. Es gab keine Transportverschlüsselung per SSL oder TLS.

Wie könnte nun ein Türöffnen per simuliertem Mobilfunknetz praktisch aussehen? Das nötige Equipment passt in einen Aktenkoffer oder Rucksack.

Laut fefe wird BMW das jetzt fixen, indem sie von außen, über die unsichere Verbindung, eine neue Firmware hochladen. Was kann da schon schief gehen …

Und jetzt denkt mal drüber nach, dass nach einem EU-Gesetzesentwurf ab Oktober 2015 ALLE Neuwagen ein E-Call-System an Bord haben müssen. Was kann da schon schief gehen?

 

Tagged as: , , , , | Author:
[Sonntag, 20150208, 13:37 | permanent link | 0 Kommentar(e)

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.
Impressum / Offenlegung gemäß § 25 Mediengesetz

Search

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, at, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalisierung, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, domino, Domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, eu, EU, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, ibm, IBM, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, IT, it, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, linux, Linux, linuxwochen, linuxwochenende, live, living, lol, london, lost+found, Lotus, lotus, Lotus Notes, lotus notes, lotusnotes, LotusNotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, lotusphere2008, Lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, Microsoft, microsoft, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, notes, Notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, surveillance, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, videoüberwachung, vienna, vim, Vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, wunschzettel, Wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist