IT-Sicherheitslücke bei 2,2 Millionen BMW

IT-Sicherheitslücke bei 2,2 Millionen BMW

Beitragvon JuergenII » Fr 30. Jan 2015, 12:01

Das dürfte auch uns hier betreffen:
Der ADAC hat beim Vernetzungs-System von BMW Connected Drive eine IT-Sicherheitslücke aufgedeckt. Wie der Club der Automobilwoche bestätigte, können die betroffenen BMWs über die Connected-Drive-App auf dem Smartphone geöffnet werden. Laut BMW sind weltweit rund 2,2 Millionen Autos betroffen, in Deutschland sind es rund 423.000 Autos der Marken BMW, Mini und Rolls-Royce. All diese Fahrzeuge wurden seit März 2010 mit Connected Drive ausgestattet. Der Münchner Hersteller hat laut ADAC angekündigt, dieses Problem bis morgen, 31. Januar, bei allen betroffenen Fahrzeugen zu beheben.

BMW-Halter selbst können über zwei Wege erkennen, ob ihr Auto mit der neuen Verschlüsselung versehen wurde. Zum einen informiert sie die BMW-Hotline, die in diesen Tagen verstärkt besetzt ist (Hotline: +49 89 1250 160 10). Zum anderen können die Halter manuell nach einem neuen Connected-Drive-Update suchen und es installieren.
Quelle: Automobilwoche


Juergen
i3 REX - der einzige BEV Ableger ohne Reichweitenangst und Ladestress
Benutzeravatar
JuergenII
 
Beiträge: 1966
Registriert: Do 30. Aug 2012, 07:50
Wohnort: z Minga

Anzeige

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

Beitragvon molab » Fr 30. Jan 2015, 12:58

Ist angeblich schon gefixed, per SMS. Aktiviert sich beim Einschalten des ConnectedDrive, ist also vermutlich bei allen schon aktiv. Die haben Verbindungen von http auf https umgestellt.
Hier gibt's was dazu: http://www.spiegel.de/auto/aktuell/adac-entdeckt-it-sicherheitsluecke-bei-bmw-connected-drive-a-1015819.html
BildSmart ED3 Cabrio, Rekupaddel, SHZ, TFL, etc.; Lader: RTP Bettermann + HausBus
Eigenstromladung: PV: SMA/Solarwatt 3,2kWp; KWK: EcoPower 1.0; Puffer: SMA SI 6.0, Pb 30(15)kWh nur für KWK
molab
 
Beiträge: 1370
Registriert: Di 26. Feb 2013, 16:40
Wohnort: Köln

Connected Drive gehackt

Beitragvon AbHotten » Di 3. Feb 2015, 11:20

Hat das schon jemand mitbekommen?

http://heise.de/-2533601

Unterhaltsam finde ich vor allem folgende Aussage:

Vielmehr habe die Sicherheitslücke den Übertragungsweg der Daten per Mobilfunk betroffen. Die Verwendung des HTTPS-Protokolls stelle nun sicher, dass die Daten verschlüsselt werden und die Identität des BMW-Servers geprüft werden könne.


D.h., die haben vorher die gesamte Kommunikation vom Auto zum Server unverschlüsselt per HTTP gemacht, ohne die Serveridentität zu prüfen... Ich lach mich schlapp. Vor ein paar Woche wollte mir ein User erklären, wie sicher die BMW-CD Server seien, weil dort im RZ eine Standleitung benutzt wird, die gar nicht übers Internet kommuniziert... :roll: :lol:
Renault Zoé (Carsharing) vom 31.10.2014 bis zum 31.09.2015
Tesla Model ≡ reserviert am 02.03.2016
Mitubishi i-MiEV seit dem 16.04.2016
Benutzeravatar
AbHotten
 
Beiträge: 476
Registriert: Mo 28. Jul 2014, 16:45
Wohnort: Bad Sooden-Allendorf

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

Beitragvon Knobi » Di 3. Feb 2015, 20:29

Themen zusammengeführt.
BMW i3 von 03.2014 bis 12.2016 Bild
BMW i3 (94Ah) seit 12.2016 Bild
Model ☰ reserviert am 31.3.16
Benutzeravatar
Knobi
 
Beiträge: 722
Registriert: So 12. Jan 2014, 15:06
Wohnort: Erftstadt

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

Beitragvon Oly_B » Sa 7. Feb 2015, 10:52

Lt. Liste von BMW bzw. dem ADAC ist auch der i3 (und der i8) betroffen.
http://www.adac.de/infotestrat/technik-und-zubehoer/fahrerassistenzsysteme/sicherheitsluecken.aspx

Interessant finde ich die Erlaeuterung der c't.
http://www.heise.de/security/meldung/ConnectedDrive-Der-BMW-Hack-im-Detail-2540786.html

Mit der Beachtung einiger Grundregeln und weiteren Tests haette das Problem wahrscheinlich vermieden werden koennen.

Ich hoffe, dass die anderen Hersteller moeglichst schnell ihre Lektionen aus dieser Panne ziehen.
PV (Sanyo HIT) 8,16 kW/P, BMW i3 BEV & VW eUP (beide < 12 kWh pro 100km), WallB-E 22kW
Blog: http://www.sunke-wedel.de
Benutzeravatar
Oly_B
 
Beiträge: 103
Registriert: So 8. Dez 2013, 12:42
Wohnort: Schleswig-Holstein

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

Beitragvon DaCore » So 8. Feb 2015, 09:59

Oly_B hat geschrieben:
Mit der Beachtung einiger Grundregeln und weiteren Tests haette das Problem wahrscheinlich vermieden werden koennen.


Die wichtigste Grundregel wird aber immer noch missachtet und zwar vertraue nicht "Security through obscurity". Die ganze Automotive Branche muss hier noch viel lernen. Das ist halt lernen durch Schmerzen. 8-)
DaCore
 
Beiträge: 192
Registriert: So 20. Okt 2013, 06:52

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

Beitragvon NotReallyMe » So 8. Feb 2015, 10:49

Um den I3 auf dem beschriebenen Weg zu öffnen muss man einen gewissen Aufwand treiben (mit einem handelsüblichen Laptop ist es nicht getan) und man muss in der Nähe des Wagens sein. Ganz davon abgesehen, daß das strafbar ist kann man stattdessen auch einfach die Scheibe einschmeißen, das geht schneller.
Bisher I001-17-07-500 Max.Kapa. 29.1 kWh, jetzt I001-17-11-520 Max.Kapa. 28.6 kWh
NotReallyMe
 
Beiträge: 1500
Registriert: Fr 15. Mär 2013, 17:46

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

Beitragvon mlie » So 8. Feb 2015, 12:17

Soviel Mehraufwand ist das gar nicht mal. Und Scheibe einschmeißen ist (ausser in Berlin vielleicht) deutlich auffälliger als wenn man an's Auto geht, dort eine Zigarette raucht und das offene Auto dann anderweitig benutzt...
Und wenn ich ein Auto klauen möchte, ist es eh zweckmässig, in der Nähe des Objeks zu sein, wenn ich den Auftrag nicht fremdvergeben möchte.

Und zu dem Zeitpunkt, wo man Türen recht simpel ohne Schäden aufmachen kann, dürfte es dem geübten Autodieb auch leicht fallen, die Wegfahrsperre zu deaktivieren und wegzufahren.
Und wenn in einem system eine Lücke ist, gibt es definitiv noch andere.
110Mm elektrisch ab 11/2012.

Bevor man den 200. Tröt zu einem längst ausdiskutierten Sachverhalt aufmacht, IMMER erstmal die Suche benutzen. Es gibt in diesem Forum KEIN Elektroautothema, welches nicht schon längst abschliessend diskutiert wurde!
Benutzeravatar
mlie
 
Beiträge: 3230
Registriert: Mo 5. Aug 2013, 09:43
Wohnort: Nordkreis Celle

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

Beitragvon NotReallyMe » So 8. Feb 2015, 12:49

Wie beschrieben ist das illegal und nur mit krimineller Energie nutzbar, das kann man nicht "aus Versehen" machen. Es ist auch unerheblich welches Werkzeug man zum Einbruch nutzt, das ist schon im Versuch strafbar.
Bisher I001-17-07-500 Max.Kapa. 29.1 kWh, jetzt I001-17-11-520 Max.Kapa. 28.6 kWh
NotReallyMe
 
Beiträge: 1500
Registriert: Fr 15. Mär 2013, 17:46

Re: IT-Sicherheitslücke bei 2,2 Millionen BMW

Beitragvon DaCore » So 8. Feb 2015, 13:51

NotReallyMe hat geschrieben:
Wie beschrieben ist das illegal und nur mit krimineller Energie nutzbar, das kann man nicht "aus Versehen" machen. Es ist auch unerheblich welches Werkzeug man zum Einbruch nutzt, das ist schon im Versuch strafbar.


Diebstahl ist glücklicherweise strafbar, aber als Geschädigter hat man ohne sichtbaren Schaden Probleme der Versicherung klar zu machen, dass man nicht grob fahrlässig gehandelt hat. Die Automobilindustrie ist da nicht gerade kooperativ und einsichtig, sondern schaltet auf stur und behauptet felsenfest "unsere Systeme sind unglaublich sicher". Die Realität sieht leider anders aus.
DaCore
 
Beiträge: 192
Registriert: So 20. Okt 2013, 06:52

Anzeige

Nächste

Zurück zu i3 - Allgemeine Themen

  • Ähnliche Artikel im Blog

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste