Ob das uns auch betroffen hatte? Man weiß es nicht. Aber das Thema zieht sich ja durch den gesamten VW-Code.
https://www.heise.de/news/Vom-…tellen-fand-10390287.html
Mich wundert schön langsam gar nix mehr ...
My Cupra App
-
-
Ob das uns auch betroffen hatte? Man weiß es nicht. Aber das Thema zieht sich ja durch den gesamten VW-Code.
https://www.heise.de/news/Vom-…tellen-fand-10390287.htmlAlso die Nummer ist heftig und geht meiner Meinung nach sogar über die schon heftige Datenpanne (durch den CCC fein aufgedeckt) hinaus.
Wenn es wirklich möglich war, Passwörter, Token etc. im KLARTEXT abzurufen, liegt ein elementares Sicherheitsproblem in der Grundarchitektur vor. Passwörter speichert man nicht im Klartext. Punkt. Das lernt man so ungefähr seit Jahren, wenn nicht Jahrzehnten als absolute IT-Basics.
(Edit: Laut Original-Bericht https://loopsec.medium.com/hac…kswagens-app-24b34c47ba89 waren die Passwörter Zugangsdaten zu weiteren internen und externen Systemen. Personenbezogene Daten konnte man dennoch fleißig abrufen.)Scheinbar scheint auch das interne Testing absolut unzureichend zu sein. Alleine dass überhaupt Endpunkte existieren, die diese Daten ausliefern, hätte bemerkt werden müssen.
Davon abgesehen, dass man auch hätte merken müssen, dass irgendwelche Authentifizierungen keine Limits haben.
Ja, in komplexen Systemen passieren Fehler und es gibt immer irgendwelche Lücken. Das ist normal. Mit schnellen Fixes und ausführlichen Tests etc. muss man dagegen ansteuern.
Wenn allerdings schon die absoluten Basics scheitern und scheinbar wirklich irgendjemand der Meinung war, dass man Passwörter im Klartext speichern kann, fällt mir nichts mehr dazu ein.
Wirklich nichts.
Außer, dass es langsam aber sicher wirklich Zeit für eine Milliardenstrafe wird, da man scheinbar auf geltendes Recht und Datenschutz absolut nichts gibt und weiterhin absolut stümperhaft arbeitet.
-
Ich hab mir schon (bevor dieser Artikel veröffentlicht wurde) überlegt, ob ich mir die App überhaupt antun soll?
Wenn sich jemand bei mir einhackt, kann er ja mein Auto steuern.
Was kann man mit er App eigentlich steuern?
Die 2 elementarsten Dinge, die mich am meisten interessieren, wären:
- Fahrzeug entriegeln?
- Motor starten? Oder funktioniert das aufgrund der eingebauten Wegfahrsperre nicht und man benötigt zwingend den Schlüssel mit dem Chip?
-
Im Grunde braucht man die App nur für diverse Datenschutz- und Berechtigungseinstellungen, Ver- und Entriegeln, Sitzheizung sowie den Remote Park Assist (soweit er denn überhaupt funktioniert). Ansonsten könnte man die App noch für Start/Stop Charging und Klimatisierung sowie die Einstellung der Zieltemperatur verwenden. Das kann aber die HomeAssistant-Schnittstelle genauso gut bzw. unproblematischer.
Wenn ich aktuell nicht täglich versuchen würde, diesen Remote Park Assist und den connected Travel Assist endlich zu aktivieren, würde ich da wohl gar nicht mehr reinschauen und nur HA verwenden.
-
Im Grunde braucht man die App nur für diverse Datenschutz- und Berechtigungseinstellungen, Ver- und Entriegeln, Sitzheizung sowie den Remote Park Assist (soweit er denn überhaupt funktioniert). Ansonsten könnte man die App noch für Start/Stop Charging und Klimatisierung sowie die Einstellung der Zieltemperatur verwenden. Das kann aber die HomeAssistant-Schnittstelle genauso gut bzw. unproblematischer.
Wenn ich aktuell nicht täglich versuchen würde, diesen Remote Park Assist und den connected Travel Assist endlich zu aktivieren, würde ich da wohl gar nicht mehr reinschauen und nur HA verwenden.
Achtung: Die HA-Schnittstelle kommuniziert nicht direkt mit dem Auto, sondern immer über die Server des Herstellers.
Ob man die App installiert hat oder nicht ist daher total egal. Denn sobald eine Verbindung zwischen Auto und Server besteht, können Datenpannen (wie bereits bekannt) passieren.Da hilft nur, gar nicht erst einen Online-Account im Auto einzurichten. Und eigentlich müsste man auch noch das Kommunikations-Steuergerät lahmlegen. (Was dann vermutlich zum Erlöschen der Betriebserlaubnis für, da E-Call ggf. nicht mehr funktioniert.)
Denn ob das Auto auch ohne Account Daten an die Server übermittelt? -> Keine Ahnung.Eigentlich ist eine komplette Offline-Nutzung eines modernen Fahrzeugs gar keine Option mehr. Zu groß sind die Einschnitte in der Funktion.
Also entweder dem Hersteller vertrauen oder ein älteres Auto ohne solche Technik fahren.
-
Alles anzeigen
Achtung: Die HA-Schnittstelle kommuniziert nicht direkt mit dem Auto, sondern immer über die Server des Herstellers.
Ob man die App installiert hat oder nicht ist daher total egal. Denn sobald eine Verbindung zwischen Auto und Server besteht, können Datenpannen (wie bereits bekannt) passieren.Da hilft nur, gar nicht erst einen Online-Account im Auto einzurichten. Und eigentlich müsste man auch noch das Kommunikations-Steuergerät lahmlegen. (Was dann vermutlich zum Erlöschen der Betriebserlaubnis für, da E-Call ggf. nicht mehr funktioniert.)
Denn ob das Auto auch ohne Account Daten an die Server übermittelt? -> Keine Ahnung.Eigentlich ist eine komplette Offline-Nutzung eines modernen Fahrzeugs gar keine Option mehr. Zu groß sind die Einschnitte in der Funktion.
Also entweder dem Hersteller vertrauen oder ein älteres Auto ohne solche Technik fahren.
So wie du schreibst, ganz ohne die App geht es leider nicht, da man sich dafür entschieden hat, insbesondere die Datenschutz- und Berechtigungseinstellungen eben nicht nur in der UI des Fahrzeuges verfügbar zu machen, sondern zum Teil auch ausschließlich nur in der App verortet hat.
Wenn man sich dem verweigern möchte, dann sollte man sich darüber im Klaren sein, dass die meisten Assistenten und das Entertainment/Navi entsprechend nur teilweise oder gar nicht funktionieren, egal ob man die mit gekauft hat.
Am Ende muss man selbst entscheiden, welche Funktionen man benötigt und über welchen Weg man mit den Cariad-Servern kommuniziert. Die HA-Schnittstelle ist open source und funktioniert - soweit die Cariad-Server nicht gerade rumspinnen - schnell und problemlos. Ehrlich gesagt vertraue ich Dieser mehr als einer App, die häufig auch dann spinnt, wenn die Server über HA ansprechbar sind, die Passwörter und Token unverschlüsselt überträgt und sicher auch noch so manchen sonstigen Tracker an Bord hat.
-
Ehrlich gesagt vertraue ich Dieser mehr als einer App, die häufig auch dann spinnt, wenn die Server über HA ansprechbar sind, die Passwörter und Token unverschlüsselt überträgt und sicher auch noch so manchen sonstigen Tracker an Bord hat.
Das stimmt natürlich. Die App eröffnet so einige "Nebenwege" an Datenverkehr.
Auf den potentiell unsichersten Punkt, nämlich der Server-Infrastruktur, hat man nur leider keinen Einfluss.
Wenn VW zu viele Daten sammelt, sammeln sie zu viele Daten. Wenn sie diese Daten dann noch unzureichend schützen, schützen sie sie unzureichend.
Und wenn man dann noch mangels gängiger Sicherheitsmechanismen über die Schnittstelle/Server auf Fahrzeugdaten zugreifen kann (egal ob jetzt angeblich nur in Indien oder generell), kann man dagegen auch nichts tun.
Da können die Systeme "nach" den Servern noch so Open Source und sicher sein.
Ich möchte nur darauf hinweisen, damit durch die Nutzung von eigenen Clients wie HA nicht plötzlich ein falsches (positives) Gefühl von Sicherheit entsteht.
-
Ich habs leider noch nicht ganz verstanden.
Bitte nochmal für Dumme wie mich:
Kann ich nur mit der App (ohne Schlüssel!) mein Auto aufsperren und damit losfahren?
Danke Euch schon im voraus
-
Aufsperren ja, Starten und losfahren nein
-
das stimmt aber nur für die ganzen Facelift Modelle. Die "alten Borns" haben nur die Funktionen zum Laden start/stop und die Klimatisierung.
