Nunja, aber letztlich werden daraus dann fahrende malware buden, die im schlimmsten fall per vulnerability chain gegebenenfalls die Kunden infizieren. Sei es per Bluetooth oder andere Schnittstellen um an die Kunden zu kommen. Beispiele gibt es ja genügend. z.b. der hier: "Operation Triangulation" bei ios.
Speicher Besuch(e) in Mlada Boleslav: Alle Videos
-
-
Mal ne frage, ich kenne mich mit dem cybersecurity "gesetz?" nicht aus, aber nach kurzer Suche in den NPM libraries vom enyaq mit softwarestand 4.0 hab ich bereits eine gefunden die eine CVE hat mit Rating 9,1 von 10.
Die Sicherheitsbedenken kann ich sehr gut nachvollziehen. Ich kann mir nicht vorstellen, dass ein Linux System, das vor 2-3 Jahren installiert wurde, sicher ist. Und da wir Nutzer (V3.0) keinerlei Updates mehr bekommen, ist die Wahrscheinlichkeit von Sicherheitslücken 100 %.
Ein bisschen wird das Risiko etwas abgemildert dadurch, dass der Enyaq ziemlich geschlossen ist und auch kein Web Browser oder Email Client installiert ist. Die Öffnung durch Apps insbesondere der Kalendar App halte ich für ein Risiko und würde die nie installieren. Immerhin muss das CalDav Format interpretiert werden und bei der schlechten Software Qualität ist das mit hoher Wahrscheinlich auch schlampig umgesetzt.
Noch vertraue ich darauf, dass die
UpdatesDaten, die über die VW Server kommen, keine Hintertüren haben. Was bleibt mir anderes übrig. Die Mobilfunkschnittstelle lässt sich meines Wissens nicht abschalten und ohne die Erlaubnis für Datenaustausch ist die Funktion des Autos erheblich eingeschränkt.Was übrig bleibt sind die lokalen Funk- Schnittstellen insbesondere Bluetooth. Da sind natürlich ziemlich viele Schweinereien vorstellbar. Bei Bluetooth und WLAN muss der Attacker räumliche Nähe haben und das Auto im Betrieb sein, das ist ein gewisser eingeschränkter Schutz. Bei der Verwendung von CarPlay vertraue ich auf die Professionalität von Apple.
Wie schon öfters hier beschrieben, halte ich die Verwendung von Bluetooth Dongles über die ODB Schnittstelle für grob leichtsinnig und ich würde das nie machen, zumal die Authentifizierung bei einigen Dongles praktisch funktionslos ist und die mitgelieferte Software garantiert kein Sicherheitsaudit hat. Klar, das wäre eine sehr spezielle Attacke, die nicht massentauglich wäre, somit ist der kriminelle, monetäre Nutzen eingeschränkt, aber trotzdem ist es eine Einladung zum Missbrauch.
Man könnte sich ein Erpressungszenario in Richtung VW vorstellen, bei dem der Attacker erst langsam über die Zeit einen Control und Command Server installiert und dann VW erpresst mit der Drohung Unfälle herbeizuführen.
Dazu wäre nicht sehr viele Autos notwendig,. Wenn erst einmal 100 Enyaqs im Straßengraben liegen und es ruchbar wird, dass ein Cybersecurity Angriff die Ursache war, ist der Schaden für VW extrem und der Brand endgültig zerstört.
Allgemein ist es ist aus meiner Sicht sehr problematisch, ein mit dem internet verbundenes System zu betreiben und gleichzeitig keine Updates zu liefern. -
Wie wäre es wenn die Herren/Damen/Weißnichtwasichbin mal wieder Deutsch schreiben würden?
Ein Brand kann z.B. nicht zerstört werden, nur gelöscht - das was gemeint ist nennt sich "Marke".
-
Wie wäre es wenn die Herren/Damen/Weißnichtwasichbin mal wieder Deutsch schreiben würden?
Ein Brand kann z.B. nicht zerstört werden, nur gelöscht - das was gemeint ist nennt sich "Marke".
sehr kluge Bemerkung.
-
sehr kluge Bemerkung.
Eben deshalb habe ich sie gemacht.
Wenn Ihr schon offtopic (wieder ein Anglizismus) schreibt dann wenigstens auch für alle verständlich,
ansonsten könnt Ihr den Kram auch per PN oder in einem eigenen Thread klären.
-
Google mal nach Brand und Marke. Das ist nicht dasselbe.
-
Ja, public Fahrzeuge sollten natürlich die prod sein. Ich habe aber das Gefühl, dass wir für VW in der dev leben und einen ziemlich breiten uat machen dürfen.
Nur mal als Beispiel: Ich hab zwar keine Ahnung wovon ihr da sprecht und das mag für Euch, die ihr dasselbe Fachchinesisch sprecht, wohl mächtig interessant sein.
Die ist aber kein Forum für Softwareentwickler und mit dem Matthias Speicher hat es wohl auch kaum zu tun?
Also seid doch so nett und erstellt Euch einen „Software für Fachchinesen“-Thread und diskutiert das dort aus. vielleicht finden sich dort auch mehr, die mitdiskutieren wollen und können. Die breite Masse kann es hier nicht und ob es mit den eigentlichen Thread zu tun hat, ist für mich (und vermutlich viele andere hier) nichtmal erkennbar.
Vielen Dank!
-
Nur mal als Beispiel: Ich hab zwar keine Ahnung wovon ihr da sprecht und das mag für Euch, die ihr dasselbe Fachchinesisch sprecht, wohl mächtig interessant sein.
Die ist aber kein Forum für Softwareentwickler und mit dem Matthias Speicher hat es wohl auch kaum zu tun?
Also seid doch so nett und erstellt Euch einen „Software für Fachchinesen“-Thread und diskutiert das dort aus. vielleicht finden sich dort auch mehr, die mitdiskutieren wollen und können. Die breite Masse kann es hier nicht und ob es mit den eigentlichen Thread zu tun hat, ist für mich (und vermutlich viele andere hier) nichtmal erkennbar.
Vielen Dank!
Ich arbeite IT, daher kann ich den Kommentar gut verstehen, ich verstehe aber auch deine Reaktion, ich versuche das mal auf deutsch zu übersetzen. Ich selbst bemängel das auch gerne bei den Entwicklern. Man muss seine Sprache halt auf sein Gegenüber anpassen, ich kann mit dem Fachbereich / Anwender nicht so kommunizieren wie untereinander in der IT.
Fahrzeuge die an Kunden verkauft werden (prod) dürfen nicht für breit angelegte Tests (UAT bzw. Benutzerakzeptanztests) genutzt werden. Solche Tests müssen an Vorserienfahrzeugen (dev), die nur bei VW intern genutzt werden, durchgeführt werden. Ein UAT, also Benutzertest wird in der IT gerne dann durchgeführt wenn die IT etwas aus der Entwicklung, Erprobung heraus in die Öffentlichkeit entlassen möchte. Bevor das aber geschieht wird in einer gesicherten Umgebung, die das echte Leben widerspiegelt, durch eine selektierte Menge von Anwendern getestet.
Um den Bogen zu Matthias zu schlagen, seine Video lässt bei ITlern Eindruck entstehen, dass einige Entwicklungen und Anpassungen an der Software unserer Enys diese normalen IT-Wege nicht sauber gehen und teilweise nicht sauber getestete Software direkt den Anwendern überlässt. -
Zitat aus einem anderen Thread...:
"Noch als Hinweis... in der Community hat es sich bewährt, in diversen Threads Off-Topic zuzulassen. Und die aktiveren Nutzer hier werden sich auch nicht davon abbringen lassen, dies so weiter zu handhaben.
Btw. besteht auch jederzeit die Möglichkeit, durch eigene On-Topic-Beiträge die Richtung des Threads zu beeinflussen."
Was wurde daraus? 😁
-
Die Diskussion über CVE mit Security ist dann nochmal ein eigenes Ding. Ich bin aber zu faul, das jetzt zu erklären.
Liebe/r Besucher/in des Enyaq-Forum. Wir würden uns freuen, wenn du etwas zum obigen Thema beitragen möchtest.
Hier klicken, um ein kostenloses Benutzerkonto im Enyaq Forum anlegen
Bereits 10022 Mitglieder sind dabei und tauschen erste Informationen rund um das neue Elektro SUV Enyaq von Skoda aus! Viel Spaß :)