Web-Hack gefixt - Kia: Fehler in Webseite erlaubte Fernsteuerung der Pkws

  • Habt ihr eine Leseschwäche? Aber noch mal: Geschlossen wurde nur das Ausnutzen einer Lücke mit der man auf eine NOCH IMMER EXISTENTE Funktion für Händler zugreifen konnte. Die Händler können das NOCH IMMER. Und das ohne Ankündigung der Funktion geschweige denn einer Zustimmung meinerseits. Das hat auch nichts mit OTA zu tun.


    Bei BMW zB kann sogar der Motor aus der Ferne gestartet werden, aber nicht in allen Ländern und auch nur nach Zustimmung und beim Nutzen der SOS Funktion.


    Versteht ihr es jetzt? Es gibt Funktionen die niemals kommuniziert wurden und auch ganz klar gegen das EU Recht verstoßen. Das mindeste wäre eine FREIWILLIGE Zustimmung dessen. Ich jedenfalls finde es total ungeil, das jeder KIA Händler sich die 360Grad Kamera meines Autos aufrufen kann und mir in den Garten filmt. Wenn das kein Problem für euch ist: Bitteschön aber dann jammert nicht über die Konsequenzen

    Autochronologie (Erstwagen/Zweitwagen): Seat Ibiza 1.4i, Ford Focus Turnier 1.5TDCi, Ford Focus Turnier 1.6TDCi, Smart ForTwo 451, BMW Tourer 330d, VW e-Up!, Toyota Yaris Cross 1.5 FHEV, EV6 GT

    Winterschlappen: 21” Bridgestone Blizzak 6

    Sommerpneus: 21” Michelin Pilot Sport 4S (Wenn platt, dann Bridgestone Turanza 6)

  • Ich jedenfalls finde es total ungeil, das jeder KIA Händler sich die 360Grad Kamera meines Autos aufrufen kann und mir in den Garten filmt. Wenn das kein Problem für euch ist: Bitteschön aber dann jammert nicht über die Konsequenzen

    Wieso sollte ich über die Konsequenzen für den Händler jammern, wenn er von meinem Anblick vom Stuhl kippt? 😉

    Nr. 2: EV6 in 12/21 bestellt: GT-Line in weiß, AWD, Voll+GD+Bright. 18 Monate ohne Status => storniert. Plötzlich FIN... Abgeholt in 09/23. AHK Selbsteinbau.

    Nr.1: EV6 in 05/22 als Neuwagen zur Wartezeitüberbrückung gekauft: GT-Line in weiß, RWD, Voll + GD, AHK Selbsteinbau.




  • Millions of Vehicles Could Be Hacked and Tracked Thanks to a Simple Website Bug
    Researchers found a flaw in a Kia web portal that let them track millions of cars, unlock doors, and start engines at will—the latest in a plague of web bugs…
    www.wired.com


    Ich glaube, dies ist der Originalartikel.

    Da müsste man jetzt überhaupt mal wissen, ob die Kia Software der Händler hier in Deutschland die gleiche ist, die sie da drüben in den Staaten benutzen.

    Ich denke, da gibt es schon einige Unterschiede.

    Und ich glaube auch nicht, dass die Händler hier in Deutschland mit der Standard Kia Software die sie installiert haben, so einfach auf die Kamerafunktionen der Autos zugreifen können.


    Aber natürlich kann man hier erstmal ganz gross ein Fass aufmachen und Leseschwäche unterstellen aufgrund eines Artikels, der sich auf ein amerikanischen Bericht bezieht, ohne genaue Kenntnis über das Webinterface hier in Deutschland und wie sich das zu dem in Amerika unterscheidet. Aber naja.

    Wenn der Händler wissen will wie mein Vorgarten aussieht, dann soll er Google Street-View bemühen. Das ist einfacher.

    Bestellt: 17.12.2021, kein Vorläufer, 🇩🇪

    Fahrzeuge: KIA EV6 GT-line, 77.4 kWh, RWD, P5, P6, WP, Runway red / Renault Twingo Electric

    PV: 17,94 KWp O/W/S und 5,12 KWh Speicher

    Ladeinfrastruktur: 2 x myenergi Zappi mit Lastmanagement

  • Wie gesagt, am Ende wieder als lauteste brüllen wenn es negative Konsequenzen für einen selber hat. Ein Sinnbild unserer Gesellschaft. Ich für meinen Teil tue etwas.

    Autochronologie (Erstwagen/Zweitwagen): Seat Ibiza 1.4i, Ford Focus Turnier 1.5TDCi, Ford Focus Turnier 1.6TDCi, Smart ForTwo 451, BMW Tourer 330d, VW e-Up!, Toyota Yaris Cross 1.5 FHEV, EV6 GT

    Winterschlappen: 21” Bridgestone Blizzak 6

    Sommerpneus: 21” Michelin Pilot Sport 4S (Wenn platt, dann Bridgestone Turanza 6)

  • Der einzige, der bisher laut gebrüllt hat, warst soweit ich weiss du. 🤷

    Bestellt: 17.12.2021, kein Vorläufer, 🇩🇪

    Fahrzeuge: KIA EV6 GT-line, 77.4 kWh, RWD, P5, P6, WP, Runway red / Renault Twingo Electric

    PV: 17,94 KWp O/W/S und 5,12 KWh Speicher

    Ladeinfrastruktur: 2 x myenergi Zappi mit Lastmanagement

  • Aha. Wo denn? Ich schrieb was ich warum getan habe. Gelesen wird der Text dann immer nur partiell und wird dann mit eigenen Halbwissen garniert um zu relativieren. Es gibt, zum Glück, genug Leute bei denen alle Alarmglocken angehen nach der News hier. Davon dann einige wenige die auch handeln. Ich will mit meinem handeln eine Verbesserung erreichen. Was daran negativ sein soll müsst ihr bitte noch erklären.

    Autochronologie (Erstwagen/Zweitwagen): Seat Ibiza 1.4i, Ford Focus Turnier 1.5TDCi, Ford Focus Turnier 1.6TDCi, Smart ForTwo 451, BMW Tourer 330d, VW e-Up!, Toyota Yaris Cross 1.5 FHEV, EV6 GT

    Winterschlappen: 21” Bridgestone Blizzak 6

    Sommerpneus: 21” Michelin Pilot Sport 4S (Wenn platt, dann Bridgestone Turanza 6)

  • Einfach lesen, Klick...


    Allgemeine Netiquette:

    Netiquette – Wikipedia


    Netiquette EV6-Forum:


    Vielleicht klingelt es dann :?:


    Weitere BRÜLLEREI und unnötige Diskussionen

    auf persönlicher Ebene werden kommentarlos

    entfernt. Danke für das Verständnis.


    Bitte sachlich BTT.

  • Bei Tesla kann die Werkstatt auf das Auto zugreifen. Das machen die jetzt aber nicht aus Langeweile.

    (Ja ich hab von dem Datenskandal gelesen)

    Bei Tesla gibt es dann einen Service-Auftrag z.B. das der Ranger kommt und die 12 V-Batterie tauscht.

    Vorher schalten sie sich auf das Fahrzeug und lassen sich die Diagnosedaten zukommen.

    Für den Ranger reicht es vollkommen aus, physikalischen Zugriff auf das Fahrzeug zu haben.

    Der öffnet und startet es, wenn nötig selbstständig. D.h. der Autoschlüssel kann dafür auch in Timbuktu sein.

    Ganz sicher gibt es interne Prozesse dafür, wann wer auf welches Auto zugreifen darf.

    Noch viel sicherer wird alles protokolliert.


    Für den KIA habe ich einen großen Papiertiger unterschrieben, dass das Auto Daten austauschen darf.

    Wahrscheinlich ist KIA auch in der Lage im Detail aufzuschlüsseln, um welche Daten es sich genau handelt.

    Mindestens auf die durch den Benutzer über die App zugreifbaren Daten und Befehle könnte KIA theoretisch zugreifen.

    Die stellen schließlich die ganze Infrastruktur zur Verfügung.


    Auch hier gehe ich davon aus, dass das A) nicht jeder kann und B) es dafür einen Auftrag benötigt.


    Und jetzt Überraschung:

    Apple kann aus der Ferne das iPhone auslesen.

    Der entsprechende Mitarbeiter der Bank kann den Kontostand und die Kontobewegungen abrufen.

    Das große Versandhaus die Einkäufe der letzten 15 Jahre.

    Die Datenkrake durchsucht die privaten Fotos in der Cloud.


    Und wenn wir ein wenig nachdenken finden sich hier noch 100 weitere Unternehmen, die man anfragen könnte, welche Daten zugreifbar sind.

    Überraschung!?

  • Du verbreitest hier aber einige Lügen, das ist dir schon klar, oder?


    1.) Daten Lesen und Daten Schreiben sind zwei unterschiedliche Dinge. Hier versuchst du Dinge zu relativieren. Wenn man aktiv unterschreibt, dass KIA oder wer auch immer Dinge mit dem Auto aus der Ferne tun darf: selbst schuld. Habe ich zB nicht.

    2.) Apple kann das iPhone nicht auslesen. Der Key zur Verschlüsselung liegt im Secure Enclave auf dem Handy selbst. Was Apple theoretisch kann, was aber weder nachgewiesen noch irgendwo dokumentiert ist: Backups auslesen.

    3.) Und dein Versuch alles ins lächerliche zu ziehen funktioniert bei den unbedarften, aber es ist noch immer ein Unterschied Daten vom Konto zu LESEN und dein Auto aus der Ferne zu steuern.

    4.) Wer 2024 noch Immer Daten an Unternehmen schickt, die kein Geld verlangen hat noch immer nicht verstanden, das er mit seinen Daten zahlt. Aber bitte, schöner Versuch. Ich schalte mich jetzt auch aus dem Thread hier raus. Gegen Stammtisch kommt man leider nicht an.

    Autochronologie (Erstwagen/Zweitwagen): Seat Ibiza 1.4i, Ford Focus Turnier 1.5TDCi, Ford Focus Turnier 1.6TDCi, Smart ForTwo 451, BMW Tourer 330d, VW e-Up!, Toyota Yaris Cross 1.5 FHEV, EV6 GT

    Winterschlappen: 21” Bridgestone Blizzak 6

    Sommerpneus: 21” Michelin Pilot Sport 4S (Wenn platt, dann Bridgestone Turanza 6)

  • Ist doch okay, wenn du warnst. Es gibt aber nunmal arglose und vorsichtige Menschen. Zudem ist das Thema "Öffentliche Daten" im schnellen Wandel, kaum einer kennt sich aus, viele reden mit etc. Dabei richtig zu trennen, was ist wirklich bedenklich und was Panikmache, traue ich mir selbst nicht zu. Es erinnert mich jedoch auch an die Volkszählungen, gegen welche mobil gemacht wird wegen des möglichen Missbrauchs, seit ich denken kann. Darin sehe ich aber Sinn. Clouds jedoch habe ich nicht.

    228 PS Grün. 2. Hd., alles incl. AHK & WR außer GD und Alcantara (kein GT-Line). MJ 22; 46.000km

    Noch bei uns: Passat Variant CNG Mj 2014, 203.000km