Connected Drive: BMW schließt Sicherheitslücke over-the-air

News | 30.01.2015 von 15

Vor- und Nachteile von BMW ConnectedDrive bestimmen an diesem Freitag die Nachrichten rund um die BMW Group. Zunächst überraschte der ADAC mit einer Meldung, dass …

Vor- und Nachteile von BMW ConnectedDrive bestimmen an diesem Freitag die Nachrichten rund um die BMW Group. Zunächst überraschte der ADAC mit einer Meldung, dass die mobilen Dienste von BMW nicht optimal vor Hacker-Angriffen geschützt sind: Ein Verschlüsselungs-Fehler ermöglichte es Hackern laut ADAC, die Fahrzeuge per Funk zu öffnen.

BMW betont, dass die Sicherheit der Kunden zu keiner Zeit in Gefahr war und eventuelle Hacker, die die Lücke vor dem ADAC entdeckt haben könnten, niemals Zugriff auf fahrrelevante Funktionen haben konnten. Beeindruckend ist, dass BMW die Problematik bereits aus der Welt geschaffen hat – und das ohne Rückruf, Werkstattaufenthalt oder sonstige Nachteile für die Besitzer der ca. 2,2 Millionen Fahrzeuge mit BMW ConnectedDrive Online-Funktionen.

bmw-connected-drive-adac-f20-lci-2015-01

Möglich ist die schnelle Hilfe durch die im Fahrzeug verbaute SIM-Karte und die Internet-Verbindung der Autos: Per Software-Update konnten die Münchner das Leck schließen – jedes Auto, dass sich in den letzten Stunden per SIM-Karte mit der Münchner Zentrale verbunden hat, verfügt bereits über das Sicherheits-Update und ist entsprechend geschützt.

Genutzt wird seit dem Update das besser geschützte HTTPS-Protokoll. Dieses erlaubt eine Überprüfung von Sender und Empfänger, bevor das Fahrzeug eventuell Daten von einem nicht berechtigten Hacker in Empfang nimmt. Nach aktuellem Kenntnisstand wurde die vom ADAC entdeckte Sicherheitslücke zu keiner Zeit von Außenstehenden genutzt, auch ein entsprechender Versuch fand demnach nicht statt.

bmw-connected-drive-adac-f20-lci-2015-02

15 responses to “Connected Drive: BMW schließt Sicherheitslücke over-the-air”

  1. Lugrom says:

    Verschlüsselungsfehler? Das war kein Fehler bei der Verschlüsselung, sie exisitierte vorher einfach nicht. HTTPS wurde nun aktiviert, vorher hat BMW die Daten im Klartext durch die Gegend gesendet. Wenn dies auch das Sicherheitsniveau ist was BMW bei seinen selbstfahrenden Autos plant… freie Fahrt für freie Hacker.

  2. Der_Namenlose says:

    BMW sollte das Ganze positiv vermarkten: “Schaut her, unsere Fahrzeuge beherrschen schon seit 2010 ‘Over-the-Air-Update'”:)

    Wenig verwunderlich ist natürlich das Verhalten von AMS, Autobild und N-TV: über dieses nicht mehr vorhandene Problem wird berichtet, aber über den Rückruf aus dem Hause VW nicht.
    Und ZDF als verlängerter VAG-Arm hat gestern wie auch beim letzten Mal nicht über den Rückruf aus dem Hause VW berichtet, wo doch sonst jeder einzelne Rückruf von Toyota und BMW in ‘heute’ und ‘heute journal’ erwähnt werden.

    • Pirol72 says:

      Nicht nur das ZDF ist der verlängerte Arm des VW Konzerns sondern die kompletten öffentlich Rechtlichen. Als Beispiel nenne ich letzte Woche wurde im BR über das autonome Fahren berichtet und welcher Hersteller wurde genannt, jawohl Audi da wurde so getan als wenn die Ingolstädter die ersten wären die ein solches Fahrzeug hatten, nur BMW fuhr schon 2011 mit einer Flotte von 5er autonom von München nach Nürnberg über die A9. Aber das höchste war letzten Sonntag Blickpunkt Sport, da wurde gezeigt wie gut der Neureuter Skifahren kann das dauerte eine Minute danach 20 Minuten Interviews mit Audiwerbung, weil jeder Verantwortliche des DSV die vier Ringe in die Kamera hielt, da wurde sogar beim Neureuter der Jackenkragen in die Höhe gestellt das die Audiwerbung sichtbar war. Aber vom Biathlon, Rodeln oder Bob wo BMW der Sponsor ist und die Athleten auch noch erfolgreicher sind als die beim Skifahren wurde nichts berichtet.
      Ja ja der Arm des VW Konzerns reicht weit.

      • Wombat says:

        Nicht nur bei den Öffentlich-Rechtlichen, die VW/Audi Marketingstrategen sind da völlig schmerzfrei. Mir geht dieses “Wir sind die Besten”-Getue auch mächtig auf den Zeiger. Zwei weitere Beispiele aus jüngster Vergangenheit:

        In einem Interview auf der CES (VOX) erzählte Audis Dr. Ulrich Hackenberg mit stolzgeschwellter Brust, wie toll man doch sei und welche Pionierleistungen man in Sachen “Autonomes Fahren” doch schon vollbracht habe! Und – Sensation! – Audi habe ein System serienreif, das bis 60km/h die komplette Kontrolle über das Fahrzeug übernehmen kann, also Abstand zum Vordermann, Stop&Go und Lenken. Das wäre ganz toll und debütiere schon im demnächst erscheinenden A8. Dachte mir nur: Hää? Das nennt sich “Stau-Assistent” und kann bei BMW schon seit bald ‘nem Jahr bestellt werden. Und zwar nicht im teuren Top-7er, sondern in der Familienkutsche 2er AT…

        Beim DTM-Abschlussrennen in Hockenheim letztes Jahr hat Audi mit einem Riesen-Bohei und TamTam einen entsprechend ausgerüsteten A7 autonom um die Rennstrecke fahren lassen. Dabei waren sie sich nicht zu blöd, sich selbst ständig als “Pionier in Sachen autonomes Fahren” zu bezeichnen. Dass z.B. BMW bereits 2009 autonom im Grenzbereich die Nordschleife umrundet hat (“TrackTrainer”) und sogar kontrollierte Drifts im Griff hat, das interessiert ja nicht…

        Naja, wenn man nicht mit Technik begeistern kann, dann muß man halt so versuchen, eine Marke zu hypen…

        • Pirol72 says:

          Denn Stauassistenten wird bestimmt Audi umbenennen so wie die alles umbenennen was die geklaut haben mit Audi am Anfang und Schwups ist es eine Erfindung aus Ingolstadt, die sind ja noch schlimmer als die Chinesen.
          Übrigens den Stauassistenten gibt es seit 2013 im X5 und 5er, seit 2014 im ActiveTourer und X6 weitere werden 2015 folgen.

      • spectator111 says:

        Es ist leider in der Tat so: Das marktbeherrschende Automobilunternehmen VAG beherrscht auch die deutsche Presse. Die vielen Millionen Werbebudget der 12-VAG-Marken führt dazu, dass die angestellten Schreibhuren jede Zurückhaltung und Objektivität verlieren. VAG, VAG über alles. Als neulich Volkswagen irgend eine Rallye gewann, berichtete man an 1. Stelle groß über VW. Als das Mini Team neulich die Dakar-Rallye gewann, berichtete man zuvorderst über die Fahrer. Mini wurde nur am Rande erwähnt. Das Zentralorgan von VAG sitzt in Stuttgart. Alle Tests gewinnen dort in der Regel die VAG Produkte. Achtet mal darauf.

  3. Anonymous says:

    […] = window.adsbygoogle || []).push({}); So wie es aussieht kann BMW doch OTA Update: Connected Drive: BMW schließt Sicherheitslücke over-the-air Eventuell sollte der ADAC das Thema mit dem Online-Kartenupdate auch pushen: BMW Navigation […]

  4. eini says:

    Langsam gehts mir auf den Sack, überall liest man von dem Problem, aber was man nirgends lesen, und auch nicht erfragen kann: Wen betrifft das Problem überhaupt.
    Ich hab den Connected-Kram auch drin (war halt dabei), aber das wurde nie aktiviert, und die Datenverbindung zum Handy hab ich auch gekappt (vertragen sich nicht).
    1. Betrifft mich die Sicherheitslücke damit überhaupt
    2. Wird das Update auch bei deaktiviertem System eingespielt.
    Es wär auch mal echt interessant was der “Hacker” eigentlich gemacht hat,

    Echt zum Kotzen, gefühlte 500 Artikel zum Thema und in keinem steckt auch nur eine Interessant Information.

    • Pirol72 says:

      Wenn Du den kompletten Bericht gelesen oder verstanden hättest, hättest es verstanden das keinerlei Gefahr vorhanden war da niemand von dieser Sicherheitslücke wusste, als dieses Problem veröffentlicht wurde hatte BMW dieses schon längst gelöst.
      Die Schließung der Sicherheitslücke wurde über die eingbauten SIM Karte eingespielt ohne das es jemand bemerkte.
      Was hast den Du für ein Handy weil Du die Verbindung gekappt hast, ich habe das iPhone 6 funktioniert tadellos.

      • eini says:

        Also, zumächst ist es mal nicht sicher nur, weil (vermutlich) keiner davon weiß, dass nennt sich in der Branche “security by obscurity” und ist keine Sicherheitskonzept – und zwar deshalb, weil man niemals genau weiß, ob das bereits ausgenutzt wird oder nicht. Oder glaubst du, BMW kennt jeden Russischen Hacker persönlich?

        Zweitens, beantwortet dein Post meine Frage auch nicht – laut Heise gibt es z.B. bei der Umstellung Probleme, wenn die Fahrzeuge in letzter Zeit in Funklöchern oder Tiefgaragen geparkt waren, die Raten zur Kontaktaufnahme mit BMW, deshalb wärs doch interessant, ob auch Autos betroffen sind, bei denen das System nicht freigeschaltet wurde, und wenn ja, ob BMW diese auch per Remote mit dem Update versorgt. Der Unterschied zwischen “Funkloch” und “Ausgeschaltet” ist technisch idR. nicht sehr groß, wenn man es richtig macht.
        Ich muss wohl doch noch bei BMW nachfragen.

        Zum Handy – ist ja schön wenn es mit dem Iphone geht, ich hab hier gerade mit CM 4.4.4 ein Android am laufen, welches das Komplette System zum Absturz (Reboot) bringt, bei jedem Versuch die Online-Services zu nutzen – das ist übrigens schon ein Fortschrift, mit den Versionen vorher (inkl. Stock-Roms) ging es gar nicht – ist mir allerdings auch ziemlich egal, ich nutze es ja sowieso nicht.

        • Pirol72 says:

          Habe total vergessen das ich 2014 meinen BMW mit aktiven ConnectedDrive nicht in der Garage hatte, am nächsten Tag stand mein Auto ganz anders in der Einfahrt, kann es sein das der russische Geheimdienst mein Auto gefahren hat.

          • eini says:

            Hier, erstmal ein Fisch Ab damit nach Osten.

            Vor dem Hintergrund hielt ich es noch nie für eine gute Idee das Auto per Handy zu entsperren, und um ein generelles Risiko abzuschätzen braucht man eben technische Infos, und es nervt mich furchtbar, wenn man die eben nirgends kriegt.
            Jedes Scriptkiddy kann heutzutage mit einem Notebook und USB-Stick einen Handymasten simulieren oder mit einem DVBT-Stick Handy-Transfer mitschneiden (lief hier mal als Prof of Concept – Stick 15 Euro, Software gibt’s frei im Internet).
            Wenn das Verfahren sicher ist, kann man es ja auch problemlos offen legen.

            Ich hab hier absolut keine Angst, das jemand mein Auto klaut, aber vereinfachte Verfahren zum Autoklau gehen schon wegen der Versicherungstarife alle Fahrer an, und ich als jemand aus der Branche (nein, kein Dieb 😉 ) erwarte, dass bei solchen Fällen (wie in der IT üblich) das Verfahren, der Exploit und der Fix veröffentlicht werden, um solche Fehler in der gesamten Branche zu vermeiden.
            Reaktionen wie deine, die Finger in die Ohren zu stecken und LaLaLa zu Singen, sind wenig hilfreich Autos sicherer zu machen, dein unerschütterliches Vertrauen in die Kompetenz der BMW-Zulieferer in allen Ehren, aber ich kenne da Leute, ein guter Teil der Funktionen (übrigens bei allen Herstellern) schreiben Informatikstudenten im Praktikum – die sind billig. Und jetzt mal ehrlich, jedes geklaute Auto ist ein neu verkauftes Auto, warum sollten die Hersteller das Ding also zu Festung machen.

            eini

            P.S.
            Vielleicht war der Post doch auf der falschen Seite. Bin leider davon ausgegangen, hier gibt es Leute, die sich mehr für Technik und Sicherheit interessieren als für das Markenimage – mein Fehler, wird nicht mehr vorkommen.

Leave a Reply

Your email address will not be published. Required fields are marked *

Find us on Facebook

Shell V-Power
[Anzeige] Ferrari und Shell heben V-Power auf das nächste Level. Gönnen Sie Ihrem Motor den besten Kraftstoff!
Tipp senden