BMW ConnectedDrive gehackt

[Open Thought]

Autos von BMW mit der ConnectedDrive-Ausstattung haben eine schwere Sicherheitslücke in der Remote-Fernsteuerung. In wenigen Minuten kann die Fahrertür geöffnet werden. Dies kann z.B. von Dieben genutzt werden um Autos zu stehlen. Dadurch ist das klauen einfacher und unauffälliger, außerdem entstehen keine Schäden wie z.B. eingeschlagene Scheiben die den Wert des geklauten Autos senken. Die Lücke wurde zufällig von einem Sicherheitsbeauftragten des ADAC entdeckt, der prüfen sollte wie es um den Datenschutz moderner BMW Autos bestellt ist. In Deutschland sind über 400.000 Autos betroffen, weltweit sogar über 2 Millionen. Dieser bezeichnet die Sicherheitspraktiken von BMW als "nicht Zeitgemäß". Noch vor wenigen Monaten behauptete ein BMW-Sprecher in einem Interview, dass Sicherheit die höchste Priorität hätte.

Der ADAC hat die Liste betroffener Modelle aufgeschrieben: ADAC Info - Fahrerassistenzsysteme

Erst Apple und jetzt geht es sogar mit Autos weiter.
Weckt bei mir Erinnerungen an den regierungskritischen Reporter, der 2013 während der Arbeit an einer heißen Sache einen mysteriösen tödlichen Unfall mit seinem Benz hatte. Es wird vermutet, dass sein Auto gehackt wurde und man ihn gezielt schnurgerade gegen einen Baum fahren ließ weil er unangenehmte Sachen veröffentlichen wollte. Ob das stimmt weiß ich nicht, aber dass Regierungen vor Mord nicht zurückschrecken ist ja bekannt und wurde in der Geschichte schon oft bewiesen. Diese Lücke bei BMW zeigt, dass wir von Autos die aus der Ferne manipuliert werden nicht mehr weit entfernt sind. Firmen wie Google arbeiten schon an selbstfahrenden Autos, die "intelligent" sind. Also die Autos sind miteinander verbunden und passen ihr Fahrverhalten abhängig von den anderen an. Finde ich eigentlich eine tolle Idee, aber mich beunruhigt die Missbrauchsgefahr.

[Fritz]

Da es kein sicheres Sicherheitssystem gibt wird man immer jedes Schloss knacken können. Die vom Verbraucher gesuchte Sicherheit gibt es nicht, genauso wie es die vom Hersteller versprochene Sicherheit nicht gibt.
Was mich allerdings überrascht ist, dass man ein heutiges Fahrzeug leichter, bequemer und mit weniger Schäden aufbrechen kann als einen VW Käfer von 1945!?

[Sido]

Ich erkenne Parallelen zum Internet: In den Anfangszeiten war Sicherheit kein Thema und wurde nicht beachtet, man hat alles so konstruiert dass es funktioniert, möglichst einfach. Damals waren es aber auch noch ganz andere Maßstäbe wie heute. Das Internet war ein Zusammenschluss aus einer kleinen Elite von Computerexperten, nicht wie heute wo jeder der in der Lage ist einen Knopf zu drücken Pc und Internet benutzen kann. Niemand hat sich damals geträumt, dass dies in Privathaushalte als weltweites Netzwerk einzieht dass sogar Telefon und Fax ablöst.

Sicherheit erschien nicht notwendig da ja alles lief und es kaum "böse" gab. Als das Internet seinen Weg zu den Massen fand, nahmen diese zu. Selbst die Geheimdienste sind auf dieses exzellente Werkzeug aufmerksam eworden, dass sich zur Massenüberwachung missbrauchen lässt. Wie wir vorletztes Jahr feststellen durften, findet diese Massenüberwachung seit Jahren im stillen Kämmerlein statt, in Staaten die sich als Rechtsstaat und Demokratie bezeichnen.

Das Auto geht einen ähnlichen Weg: Moderne Technik schreitet immer weiter voran, die Funktionen sind wichtiger als deren Absicherung. Erschwerend kommt hinzu, dass wir bereits umfassende Überwachungsapparate für Internet und Handy haben, also die Techniken wo auch von den Autos genutzt werden. Die NSA betreibt Wirtschaftsspionage und wird wegen ein paar Menschenleben nicht davor zurückschrecken, solche Sicherheitslücken in ihrem Interesse zu missbrauchen anstatt sie den Herstellern zur Lösung mitzuteilen.

Ich sehe schwarze Zeiten auf unsere Gesellschaft zukommen, wenn nicht bald ein massives Umdenken in dieser Hinsicht stattfindet!

[luna]

Ich freu mich schon auf die Autos mit Android
Ich liebe Android und hasse IOS. Aber beide haben etwas gemeinsam. Sie sind unsicher. Es werden ständig Lücken und Exploits entdeckt und neue Viren geschrieben.

Ein Auto, dessen Boardcomputer mit Android läuft, ist nicht die schlauste Idee von denen.
Wozu?

Sowas reicht vollkommen aus:
Car GPS Tracker - Real Time Tracking with Cut Off Engine Function
GPS Tracker und Motor ausschalten via SMS

[Saad]

Das Problem wurde doch schon längt gefixt laut ORF.. auch ohne diesem Bug können Profis die Fahrertür aufmachen ohne dass sie ein Fenster einschlagen müssen.

[Casper <3]

Längst ist gut die Lücke war mindestens seit Anfang Dezember letzten Jahres ausnutzbar...
Und was willst du damit sagen Saad? Die Lücke ist halb so schlimm weil es auch ohne geht? Das finde ich eine sehr gefährliche Einstellung!
Diese Lücke hat den Diebstahl des Autos stark vereinfacht. Ist wie der Unterschied zu einem durchschnittlichen Haustürschloss und einer offen stehenden Tür: Beim normalen Haustürschloss braucht es wenigstens einen Profi der sein Handwerk versteht um es zu knacken, und der hat freie Wahl sich eine Wohnung herauszusuchen da in der Regel alle verschlossen sind. Steht aber deine Haustür sperrweit offen, kann jeder Volltrottel bei dir einbrechen der noch nie auch nur daran gedacht hat. Mit solchen Sicherheitslücken ist es nicht anders, die gibt es in fertigen Programmen/Scripten wo etwas erweiterte Grundkentnisse meistens schon reichen um sie auszunutzen. Bei dem icloud hack war es auch so, da gab es ein Perl oder Python Script, jeder der in der Lage war Python zu installieren und 1 Zeile Konsolencode auszuführen konnte damit Accounts hacken.

Zu bedenken ist dass wir von Autos sprechen. Wird ein icloud Account gehackt ist das peinlich, kann Beziehungen und vllt sogar Existenzen zerstören. Das ist schlimm aber wenn ein Auto gehackt wird und der Hacker es mit 150 km/h in eine Menschenmenge und anschließend gegen eine Wand rasen lässt ist ein unwiederbringlicher, erheblich schwerer Schaden entstanden. Aus dem Grunde sollten solche Systeme doppelt und 3fach abgesichert sein. Funktionen die nur ein bisschen die Faulheit erhöhen und dafür sicherheitsgefährdend sind sollten nicht erst eingebaut werden. Neue automatisierte Technik ist ja schön und gut aber jeden Scheiss müssen sie in den Autos auch nicht einbauen!