IT-Sicherheitslücke bei 2,2 Millionen BMW

IT-Sicherheitslücke bei 2,2 Millionen BMW

USER_AVATAR
read
Das dürfte auch uns hier betreffen:
Der ADAC hat beim Vernetzungs-System von BMW Connected Drive eine IT-Sicherheitslücke aufgedeckt. Wie der Club der Automobilwoche bestätigte, können die betroffenen BMWs über die Connected-Drive-App auf dem Smartphone geöffnet werden. Laut BMW sind weltweit rund 2,2 Millionen Autos betroffen, in Deutschland sind es rund 423.000 Autos der Marken BMW, Mini und Rolls-Royce. All diese Fahrzeuge wurden seit März 2010 mit Connected Drive ausgestattet. Der Münchner Hersteller hat laut ADAC angekündigt, dieses Problem bis morgen, 31. Januar, bei allen betroffenen Fahrzeugen zu beheben.

BMW-Halter selbst können über zwei Wege erkennen, ob ihr Auto mit der neuen Verschlüsselung versehen wurde. Zum einen informiert sie die BMW-Hotline, die in diesen Tagen verstärkt besetzt ist (Hotline: +49 89 1250 160 10). Zum anderen können die Halter manuell nach einem neuen Connected-Drive-Update suchen und es installieren.
Quelle: Automobilwoche
Juergen
i3 REX 120 Ah - einziger i3 mit vernünftiger Reichweite und ohne Ladestress
Anzeige

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

molab
  • Beiträge: 1370
  • Registriert: Di 26. Feb 2013, 16:40
  • Wohnort: Köln
read
Ist angeblich schon gefixed, per SMS. Aktiviert sich beim Einschalten des ConnectedDrive, ist also vermutlich bei allen schon aktiv. Die haben Verbindungen von http auf https umgestellt.
Hier gibt's was dazu: http://www.spiegel.de/auto/aktuell/adac ... 15819.html
BildSmart ED3 Cabrio, Rekupaddel, SHZ, TFL, etc.; Lader: RTP Bettermann + HausBus
Eigenstromladung: PV: SMA/Solarwatt 3,2kWp; KWK: EcoPower 1.0; Puffer: SMA SI 6.0, Pb 30(15)kWh nur für KWK

Connected Drive gehackt

USER_AVATAR
  • AbHotten
  • Beiträge: 480
  • Registriert: Mo 28. Jul 2014, 17:45
  • Wohnort: Bad Sooden-Allendorf
  • Danke erhalten: 3 Mal
read
Hat das schon jemand mitbekommen?

http://heise.de/-2533601

Unterhaltsam finde ich vor allem folgende Aussage:
Vielmehr habe die Sicherheitslücke den Übertragungsweg der Daten per Mobilfunk betroffen. Die Verwendung des HTTPS-Protokolls stelle nun sicher, dass die Daten verschlüsselt werden und die Identität des BMW-Servers geprüft werden könne.
D.h., die haben vorher die gesamte Kommunikation vom Auto zum Server unverschlüsselt per HTTP gemacht, ohne die Serveridentität zu prüfen... Ich lach mich schlapp. Vor ein paar Woche wollte mir ein User erklären, wie sicher die BMW-CD Server seien, weil dort im RZ eine Standleitung benutzt wird, die gar nicht übers Internet kommuniziert... :roll: :lol:
Tesla Model ≡ reserviert am 02.04.2016, bestellt am 15.06.2020
Mitubishi i-MiEV seit dem 16.04.2016
PV: 8,3 kWp Q.Cells + Kostal Plenticore 8.5
Speicher: BYD B-Box H (6,4 kWh)

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

USER_AVATAR
read
Themen zusammengeführt.
BMW i3 von 03.2014 bis 12.2016 Bild
BMW i3 (94Ah) seit 12.2016 Bild
Model ☰ reserviert am 31.3.16

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

USER_AVATAR
  • Oly_B
  • Beiträge: 108
  • Registriert: So 8. Dez 2013, 12:42
  • Wohnort: Schleswig-Holstein
  • Danke erhalten: 18 Mal
  • Website
read
Lt. Liste von BMW bzw. dem ADAC ist auch der i3 (und der i8) betroffen.
http://www.adac.de/infotestrat/technik- ... ecken.aspx

Interessant finde ich die Erlaeuterung der c't.
http://www.heise.de/security/meldung/Co ... 40786.html

Mit der Beachtung einiger Grundregeln und weiteren Tests haette das Problem wahrscheinlich vermieden werden koennen.

Ich hoffe, dass die anderen Hersteller moeglichst schnell ihre Lektionen aus dieser Panne ziehen.
PV (Sanyo HIT) 8,16 kW/P, BMW i3 BEV (seit 02/2020 BatterieUpgrade auf 120 Ah) & VW eUP
( beide < 12 kWh pro 100km), WallB-E 22kW
Blog: http://www.sunke-wedel.de

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

DaCore
  • Beiträge: 211
  • Registriert: So 20. Okt 2013, 07:52
  • Hat sich bedankt: 1 Mal
read
Oly_B hat geschrieben: Mit der Beachtung einiger Grundregeln und weiteren Tests haette das Problem wahrscheinlich vermieden werden koennen.
Die wichtigste Grundregel wird aber immer noch missachtet und zwar vertraue nicht "Security through obscurity". Die ganze Automotive Branche muss hier noch viel lernen. Das ist halt lernen durch Schmerzen. 8-)

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

NotReallyMe
  • Beiträge: 1812
  • Registriert: Fr 15. Mär 2013, 17:46
  • Hat sich bedankt: 53 Mal
  • Danke erhalten: 63 Mal
read
Um den I3 auf dem beschriebenen Weg zu öffnen muss man einen gewissen Aufwand treiben (mit einem handelsüblichen Laptop ist es nicht getan) und man muss in der Nähe des Wagens sein. Ganz davon abgesehen, daß das strafbar ist kann man stattdessen auch einfach die Scheibe einschmeißen, das geht schneller.
Bisher I001-17-07-500 Max.Kapa. 29.1 kWh, jetzt I001-17-11-520 Max.Kapa. 27.9 kWh

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

USER_AVATAR
  • mlie
  • Beiträge: 4232
  • Registriert: Mo 5. Aug 2013, 10:43
  • Wohnort: bei Unterlüß
  • Hat sich bedankt: 2090 Mal
  • Danke erhalten: 417 Mal
read
Soviel Mehraufwand ist das gar nicht mal. Und Scheibe einschmeißen ist (ausser in Berlin vielleicht) deutlich auffälliger als wenn man an's Auto geht, dort eine Zigarette raucht und das offene Auto dann anderweitig benutzt...
Und wenn ich ein Auto klauen möchte, ist es eh zweckmässig, in der Nähe des Objeks zu sein, wenn ich den Auftrag nicht fremdvergeben möchte.

Und zu dem Zeitpunkt, wo man Türen recht simpel ohne Schäden aufmachen kann, dürfte es dem geübten Autodieb auch leicht fallen, die Wegfahrsperre zu deaktivieren und wegzufahren.
Und wenn in einem system eine Lücke ist, gibt es definitiv noch andere.
350 Mm elektrisch ab 2012.
Nicht alles glauben, was irgendeiner bei Whatsapp als News verbreitet.
Niels Bohr sagte schliesslich schon als Student: "Zitaten aus dem Internet sollte man nicht unbesehen glauben!"

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

NotReallyMe
  • Beiträge: 1812
  • Registriert: Fr 15. Mär 2013, 17:46
  • Hat sich bedankt: 53 Mal
  • Danke erhalten: 63 Mal
read
Wie beschrieben ist das illegal und nur mit krimineller Energie nutzbar, das kann man nicht "aus Versehen" machen. Es ist auch unerheblich welches Werkzeug man zum Einbruch nutzt, das ist schon im Versuch strafbar.
Bisher I001-17-07-500 Max.Kapa. 29.1 kWh, jetzt I001-17-11-520 Max.Kapa. 27.9 kWh

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

DaCore
  • Beiträge: 211
  • Registriert: So 20. Okt 2013, 07:52
  • Hat sich bedankt: 1 Mal
read
NotReallyMe hat geschrieben:Wie beschrieben ist das illegal und nur mit krimineller Energie nutzbar, das kann man nicht "aus Versehen" machen. Es ist auch unerheblich welches Werkzeug man zum Einbruch nutzt, das ist schon im Versuch strafbar.
Diebstahl ist glücklicherweise strafbar, aber als Geschädigter hat man ohne sichtbaren Schaden Probleme der Versicherung klar zu machen, dass man nicht grob fahrlässig gehandelt hat. Die Automobilindustrie ist da nicht gerade kooperativ und einsichtig, sondern schaltet auf stur und behauptet felsenfest "unsere Systeme sind unglaublich sicher". Die Realität sieht leider anders aus.
Anzeige
AntwortenAntworten

Zurück zu „i3 - Allgemeine Themen“

Gehe zu Profile
  • Vergleichbare Themen
    Antworten
    Zugriffe
    Letzter Beitrag