Security des tages

Der Nissan Leaf ist das weltweit am meisten verkaufte Elektroauto. Käufer haben die Möglichkeit, die Klimaanlage des Fahrzeugs per Handy-App zu steuern und Daten über den Wagen abzurufen. Wie Sicherheitsforscher Troy Hunt zusammen mit ein paar Kollegen heraus fand, kann das jedermann bei einem beliebigen Leaf tun, wenn dessen Fahrer die App aktiviert hat – alles was er dazu braucht ist die Fahrgestellnummer des Autos […] Anfragen laufen allein über die Fahrgestellnummer (VIN). Die VIN kann im Frontfenster des Wagens abgelesen werden

Freut ihr euch auch alle schon so auf die ganzen „selbstfahrenden“ autos? Hach, das werden zeiten! Und das neudeutsche wort „carsharing“ wird da eine ganz andere bedeutung bekommen… :mrgreen:

4 Antworten zu “Security des tages

  1. Abgesehen von der komplett fehlenden Zugriffssicherung würde ich ja auch beanstanden, dass die Verwendung von GET (statt POST) nur für Abfragen vorgesehen ist, die keine bleibenden Änderungen bewirken. Und deren Antworten sinnvoll in Caches behalten und wiederverwendet werden dürfen. Die Nissan-App-Programmierer hätten demnach auch von HTTP keine Ahnung. Aber ich bin da selber kein Experte, und das Kriterium der idempotenz scheint es eher zu erlauben, dass man mittels GET die Klimaanlage anschaltet, denn eine Wiederholung hätte keinen weiteren Effekt…

  2. Ich kann leider den Bericht nicht mehr finden, wonach jemand eine Wiki-ähnliche Datensammlung mit Übersichtsseite, Detailseiten, Bearbeitungsseiten und „lösche diesen Eintrag“-Knöpfen online gestellt hat, und nach 2h gab es keine Einträge mehr. Datensätze neu eingespielt, wieder online gestellt, und wieder war nach 2h alles weg. Warum?

    Weil der Google-Crawler vorbeigekommen war, die Lösch-Knöpfe gefunden hatte, gemerkt hatte, dass im zugehörigen Formular method=“GET“ stand, und deswegen keinen Hinderungsgrund sah, eine dem Knopfdruck entsprechende Anfrage zu probieren.

    Wenn eine Car-App auch Vollbremsungen über GET möglich macht, dann werden es voraussichtlich keine Skript-Kiddies sein, die da einzelne Todesfälle produzieren, sondern irgendein Webcrawler wird einen massenhaften Verkehrsinfarkt auslösen. Innerhalb der nächsten 2 Jahre könnte es dazu kommen, schätze ich.

  3. Moment, mir fällt gerade ein, dass eine Verwandte ihren neuen Wagen mehrmals zur Reparatur gebracht hat, weil die Batterie ständig ausgesaugt wurde. Wenn ich mich recht entsinne, hieß es, der elektrisch verstellbare Sitz hätte aus unerfindlichen Gründen immer wieder Strom verbraucht. Hmmm. Ob da ein Crawler die Bedien-URLs gefunden hat?

  4. Der Knüller find ich, ist aber auch das mit der Fahrgestellnummer.
    Weiß das niemand von denen, dass das bei dem Hersteller so ist, dass das offen im Fenster steht??? m(
    Das macht ja auch nicht jeder Hersteller, zumindest ist da sehr oft noch z.B. die Motorhaube zu überwinden, oder eine Tür etc.

    Echt der Knüller was die Deppen da verzapfen – das sind Eperten? 😆

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.