Fürchtet Ihr Euch noch immer nicht vor dem „Internet der Dinge”?
Es ging ja durch alle Medien. Das in BMWs, Minis und Rolls zum Einsatz kommende „ConnectedDrive”, schickte seine Daten unverschlüsselt (also via HTTP) über das Mobilfunknetz. Der ADAC listet die folgenden Sicherheitslücken auf:
- Remote Services: unberechtigtes Ausführen von Fern-Funktionen, z. B. Türöffnen
- Last State Call: Auskundschaften von Fahrzeugstandort und Verriegelungszustand
- Real Time Traffic Informations (RTTI): Mitlesen aktueller Fahrzeugstandorte und z. B. gefahrene Geschwindigkeiten, Tracking von Fahrzeugen (Die Versicherungen freuen sich)
- Intelligenter Notruf: im Steuergerät hinterlegte Rufnummern, z. B. für Notrufe, können verändert werden
- BMW Online: Mitlesen von privaten E-Mails (Die NSA dankt)
Dieter Spaar vom c’t (Abo abschließen, die haben es verdient!) hat dann nochmal nachgefasst:
Unklar ist, warum BMW die DES-Verschlüsselung benutzt, denn dieser Algorithmus gilt seit Langem als gebrochen.
…
Nach dem erfolgreichen Entschlüsseln und Dekodieren der Notruf-SMS setzte ich die Untersuchung am Fahrzeug fort
…
Die Kommunikation zwischen Fahrzeug und BMW-Backend ließ sich im simulierten Mobilfunknetze problemlos mitschneiden. Denn das Fahrzeug schickte einen einfachen HTTP-GET-Request an den Server. Es gab keine Transportverschlüsselung per SSL oder TLS.
…
Wie könnte nun ein Türöffnen per simuliertem Mobilfunknetz praktisch aussehen? Das nötige Equipment passt in einen Aktenkoffer oder Rucksack.
Laut fefe wird BMW das jetzt fixen, indem sie von außen, über die unsichere Verbindung, eine neue Firmware hochladen. Was kann da schon schief gehen …
Und jetzt denkt mal drüber nach, dass nach einem EU-Gesetzesentwurf ab Oktober 2015 ALLE Neuwagen ein E-Call-System an Bord haben müssen. Was kann da schon schief gehen?
Tagged as: bwm, iot, it, rant, security | Author: Martin Leyrer
[Sonntag, 20150208, 13:37 | permanent link | 0 Kommentar(e)
Comments are closed for this story.