Oh, war mir auch noch nicht bewusst.
Diebstahl
-
-
Heute Abend brachte das ZDF in der WISO-Sendung ab 19:40h (leider noch nicht in der Mediathek abrufbar) ein interessantes Stück über Hacks an E-Autos, das eine neue Perspektive auf das Problem eröffnete:
Es ging nicht um die Entschlüsselung der Kommunikation zwischen Funkschlüssel und Fahrzeug, sondern um einen weitere Schwachpunkt - den Zugang zur Fahrzeug-App auf unseren Handys. Hier stehen nicht nur die Apps selbst im Rampenlicht, sondern auch die Passwortmanager*, mit denen Benutzer ihren Zugang zu ihren sicherheitsrelevanten Daten verwalten.
Die Reportage zeigte am Beispiel von Tesla-Fahrzeugen, wie man über die App nicht nur den Wagen öffnen, sondern damit auch wegfahren konnte. Wohlgemerkt - ohne Erfassung/Entschlüsselung der Kommunikation zwischen Funkschlüssel und Fahrzeug. Im TFF-Forum gibt's dazu bereits eine etwas gereizte Diskussion.
Anlass für die Reportage war ein Hack, bei dem Millionen von Datensätzen mit Login-Daten für E-Auto Apps im Darknet angeboten werden, und zwar für E-Autos praktisch aller Hersteller.
Im Fall EV6 kann man den Wagen immerhin nicht starten und wegfahren - öffnen kann man ihn aber schon, was jedenfalls Einbrüche und Diebstahl ermöglicht.
Was aber immer noch schmerzhaft fehlt, ist eine Zweifaktor-Identifizierung in der App (und wohl auch eine PIN-Eingabe im Fahrzeug). Das eröffnet KfZ-Versicherungen Tür und Tor, Schadensmeldungen unter dem Vorwand der Fahrlässigkeit des Benutzers abzulehnen.
Wie seht Ihr das? Wäre es nicht an der Zeit, dass wir uns massiv an KIA wenden, und eine Zweifaktor-Authentifizierung für die App sowie eine PIN-Eingabe im Infotainment-Systems des Fahrzeugs fordern?
* Passwortmanager können hier auch eine gefährliche Sicherheitslücke sein, wenn sie unverschlüsselt auf dem Handy oder in einem Backup auf dem PC oder in der Cloud gespeichert sind. Eine Zwischenlösung bei Passwortmanager und App kann das Sperren per Fingerabdruck sein. Ansonsten hilft nur der regelmäßige Wechsel der Passwörter bei diesen beiden Programmen.
Wie schützt Ihr Euch an diesen beiden Problemzonen?
-
Mein Passwort Manager ist vollständig verschlüsselt und läuft lokal (Enpass; Password Safe soll wohl auch ok sein).
Es gibt auch keine verschlüsselte Kopie in der Cloud.
Das, mit den Datensätzen, ist mir noch nicht so 100% klar.
1.) Im Fall von KIA dann das Benutzer Account Passwort, wo, ändern?
- Reicht das?
2.) Im Fall von Tesla dann das Haupt-Account Passwort, wo, ändern?
- Die berechtigten Fahrer mit Handys und einer Karte sind lokal im Tesla?
Wie seht Ihr das? Wäre es nicht an der Zeit, dass wir uns massiv an KIA wenden, und eine Zweifaktor-Authentifizierung für die App sowie eine PIN-Eingabe im Infotainment-Systems des Fahrzeugs fordern?
Ich weiss nicht, ob man KIA wirklich bewegen kann. Vielleicht über einen Massenstreik oder es muss (wie beim Tesla-Anwalt) ein KIA spezialisierter Anwalt her. Sonst bewegt sich da aus meiner Sicht Null-Komma gar nichts.
-
Passwortmanager können hier auch eine gefährliche Sicherheitslücke sein, wenn sie unverschlüsselt auf dem Handy oder in einem Backup auf dem PC oder in der Cloud gespeichert sind.
Ein unverschlüsselter Passwortmanagers
ist kein Passwortmanager, sondern eine Textdatei...?
Der generelle Unterschied zwischen Funkschlüssel- und App-Angriff ist, dass ich z.B. mit einem Gameboy einfach zu einem beliebigen Auto laufen kann (1:n). Bei der App brauch ich genau die Zugangsdaten, die genau zu dem Auto passen vor dem ich stehe (1:1). Das bedeutet deutlich mehr Rechercheaufwand pro Auto.
Sonst bewegt sich da aus meiner Sicht Null-Komma gar nichts.
Ein Gesetz, das MFA für bestimmte Anwendungsgebiete vorschreibt, könnte helfen.
-
Der generelle Unterschied zwischen Funkschlüssel- und App-Angriff ist, dass ich z.B. mit einem Gameboy einfach zu einem beliebigen Auto laufen kann (1:n). Bei der App brauch ich genau die Zugangsdaten, die genau zu dem Auto passen vor dem ich stehe (1:1). Das bedeutet deutlich mehr Rechercheaufwand pro Auto.
Ein Gesetz, das MFA für bestimmte Anwendungsgebiete vorschreibt, könnte helfen.
Wenn ich das richtig verstanden habe installieren sie z.B. die Tesla-App, geben Name und Passwort aus der geklauten Datenbank ein, gucken ob ihnen das Auto gefällt und gucken dann in der App wo es sich gerade befindet....
-
Das dürfte dann aber nicht nur BEV betreffen, oder?
-
natürlich nicht, aber man macht mehr Auflage gegen BEV
Und regelmäßig Passwörter ändern erhöht die Sicherheit NICHT(!)
-
Und regelmäßig Passwörter ändern erhöht die Sicherheit NICHT(!)
Warum? Regelmäßiges Ändern von Passwörtern ist zwar unkomfortabel, aber bei allen Sicherheitsanwendungen ein probates Mittel. Damit wären die gehackten und gehandelte Passwort-Datensätze wieder obsolet (natürlich nur bis zum nächsten Hack).
-
Warum? Regelmäßiges Ändern von Passwörtern ist zwar unkomfortabel, aber bei allen Sicherheitsanwendungen ein probates Mittel. Damit wären die gehackten und gehandelte Passwort-Datensätze wieder obsolet (natürlich nur bis zum nächsten Hack).
Und regelmäßigen Ändern füllt die Datenbänke
-
Regelmäßiges Ändern von Passwörtern ist zwar unkomfortabel, aber bei allen Sicherheitsanwendungen ein probates Mittel.
Hauptgrund: Weil häufig geänderte Passwörter zu einfacheren Passwörtern führen. Sagt mittlerweile sogar das NIST. Aber natürlich auch, dass man MFA nutzen sollte... Passwortänderung nach einem Leak ist natürlich Pflicht.
gucken ob ihnen das Auto gefällt und gucken dann in der App wo es sich gerade befindet....
Jo, das mein ich: Wenn das Auto auf einem anderen Kontinent steht werden sie sich den Aufwand sparen.
