BMW ConnectedDrive mit mehreren Lücken

(Bild: BMW)

BMWs Onlinedienst ConnectedDrive weist nach Angaben von Sicherheitsexperten mehrere Probleme auf, die bisher nicht behoben worden sind, auch wenn der Autohersteller vorab informiert wurde.

Das Vulnerability Laboratory Research Team hat nach eigenen Angaben in BMW ConnectedDrive zwei Fehler entdeckt, die dem Hersteller schon im Februar 2016 gemeldet aber bisher nicht ausgebessert wurden. Nachdem die Schonfrist abgelaufen war, wurden die Probleme jetzt veröffentlicht.

Demnach lassen sich die in ConnectedDrive gespeicherten Fahrzeugkonfigurationen anderer Autobesitzer mit einer Fahrzeugnummer auslesen und bearbeiten. Möglich macht dies eine Manipulation der Session-Validierung. Das ist allerdings erst möglich, wenn der Angreifer selbst einen Zugang bei ConnectedDrive besitzt.

Unter anderem lassen sich im Portal von ConnectedDrive Musik-Abspiellisten, Fahrrouten und E-Mailkonten speichern. Besonders unangenehm ist die Manpuluationsmöglichkeit, weil sich mit dem Dienst die Autos auch öffnen und schließen lassen. Nachdem die Fahrzeugrouten einen Angreifer direkt zum Fahrzeug führen könnten, ließe es sich dann sogar noch aufschließen.

Durch geschicktes Cross-Site-Scripting lässt sich mit bei der zweiten Lücke BMWs Passwort-Rücksetzen-Funktion auf der Website des Unternehmens angreifen und Schadcode einschleusen.

Der Automobilclub ADAC hatte auch schon einmal bei BMWs Connected Drive eine Sicherheitslücke festgestellt. Damit sollen sich die Autos über Mobilfunk von außen öffnen lassen, was auch an mehreren Fahrzeugen nachgewiesen wurde. Die Kommunikation verlief unverschlüsselt. Der Datenverkehr wurde über HTTP übermittelt, nun wurde auf HTTPS umgestellt. Auch die Klimaanlage und die Hupe lassen sich fernsteuern.

Tags :

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising