Der kürzlich bekannt gewordene Hack von Autos der Marke BMW wäre auf einfache Weise vermeidbar gewesen. Im Computermagazin c't zeigt Autor Dieter Spaar im Detail, wie der Autokonzern zentrale Sicherheitsstandards ignoriert hat. Er fand einen Weg, ohne Schlüssel die Türen aller getesteten Fahrzeuge mit ConnectedDrive-Ausstattung per Mobilfunk zu öffnen. Die Ausgabe c't 5/15 liegt ab Samstag am Kiosk.
BMW ist ein Vorreiter darin, Autos über das Mobilfunknetz mit dem Internet zu verbinden: Das Online-System ConnectedDrive ist schon seit rund sieben Jahren erhältlich. Noch vor etwas mehr als einem Jahr hatte ein Verantwortlicher bei BMW im c't-Interview versichert, die Sicherheit und der autorisierte Zugriff auf das Fahrzeug stünden im Vordergrund der Online-Dienste. Der Fehler steckt jedoch offensichtlich im Detail.
"Der Autor hat sechs grundlegende technische Fehler ausfindig gemacht, die den Hack ermöglicht haben", erläutert c't-Redakteur Axel Kossel. "All diese Probleme wären aber eigentlich vermeidbar gewesen." So hat BMW Daten ohne Transportverschlüsselung und ohne die Identität der Gegenstelle zu prüfen übertragen. Dort, wo verschlüsselt wurde, kamen bei allen Fahrzeugen die gleichen Schlüssel und längst überholte und unsichere Verfahren zum Einsatz. "Das ist sicherheitstechnisch ein absolutes NoGo", erklärt c't-Experte Axel Kossel.
BMW hat die Sicherheitslücken nach eigenen Aussagen inzwischen zumindest so weit geschlossen, dass sich die Fahrzeuge nicht mehr entriegeln lassen. Bekannt wurden sie erst, nachdem der Sicherheitsexperte Dieter Spaar auf Vermittlung von c't für den ADAC das BMW-System genauer unter die Lupe genommen hatte. In der kommenden c't-Ausgabe erläutert er detailliert, wie er eigentlich eher zufällig auf die Sicherheitslücken gestoßen ist.
Wer das ganze System lieber abschalten möchte, kann ConnectedDrive per schriftlichen Antrag bei BMW und über einen Werkstattbesuch deaktivieren lassen. Als Selbsthilfe kann man bei einigen Modellen auch den Antennenstecker abziehen. Allerdings funktioniert dann auch die automatische Notruffunktion nicht mehr.
Der komplette Artikel findet sich auch unter www.heise.de/...
BMW ist ein Vorreiter darin, Autos über das Mobilfunknetz mit dem Internet zu verbinden: Das Online-System ConnectedDrive ist schon seit rund sieben Jahren erhältlich. Noch vor etwas mehr als einem Jahr hatte ein Verantwortlicher bei BMW im c't-Interview versichert, die Sicherheit und der autorisierte Zugriff auf das Fahrzeug stünden im Vordergrund der Online-Dienste. Der Fehler steckt jedoch offensichtlich im Detail.
"Der Autor hat sechs grundlegende technische Fehler ausfindig gemacht, die den Hack ermöglicht haben", erläutert c't-Redakteur Axel Kossel. "All diese Probleme wären aber eigentlich vermeidbar gewesen." So hat BMW Daten ohne Transportverschlüsselung und ohne die Identität der Gegenstelle zu prüfen übertragen. Dort, wo verschlüsselt wurde, kamen bei allen Fahrzeugen die gleichen Schlüssel und längst überholte und unsichere Verfahren zum Einsatz. "Das ist sicherheitstechnisch ein absolutes NoGo", erklärt c't-Experte Axel Kossel.
BMW hat die Sicherheitslücken nach eigenen Aussagen inzwischen zumindest so weit geschlossen, dass sich die Fahrzeuge nicht mehr entriegeln lassen. Bekannt wurden sie erst, nachdem der Sicherheitsexperte Dieter Spaar auf Vermittlung von c't für den ADAC das BMW-System genauer unter die Lupe genommen hatte. In der kommenden c't-Ausgabe erläutert er detailliert, wie er eigentlich eher zufällig auf die Sicherheitslücken gestoßen ist.
Wer das ganze System lieber abschalten möchte, kann ConnectedDrive per schriftlichen Antrag bei BMW und über einen Werkstattbesuch deaktivieren lassen. Als Selbsthilfe kann man bei einigen Modellen auch den Antennenstecker abziehen. Allerdings funktioniert dann auch die automatische Notruffunktion nicht mehr.
Der komplette Artikel findet sich auch unter www.heise.de/...
