SZ: Es wird dir sicherlich leicht fallen die Berichte über den unsicheren Zugang durch die Media-Center zu finden. Darüber das die bisher verwendeten Busse nicht auf externe Angriffe ausgelegt waren.
Na klar. Zumindest nicht auf Angriffe über das Internet oder WLAN. Im Gegensatz zum Tesla ist mir aber bisher auch nichts bekannt, das man über das Infotainment, die CAN-Bus Firmware per Root-Zugriff manipulieren konnte. Tesla verwendet bisher übrigens genau die gleichen Busse, wie alle anderen Autobauer. Du hattest ja aber behauptet, Tesla wäre da sehr viel weiter oder besser unterwegs oder würde das ganze Thema schlauer angehen. Was ich nicht finde, sind Medienberichte, wo dementiert wird, dass es solche Lücken gibt. Deine Aussage war doch aber "die tun alles um Meldungen über Lücken geheim zu halten".
SZ: Oder die Hacks bei denen man seit Jahren durch eine einfache Signalverlängerung Autos aufschließen und mit ihnen wegfahren kann. Ja, Tesla ist davon auch betroffen, nur bietet Tesla den Fahrern deshalb mehrere Möglichkeiten an das Problem zu umgehen. Man kann die Komfortfunktion z.B. einfach abschalten. Oder man wählt eine zusätzliche zweite Authentifizierung durch eine Code-Eingabe.
Abschaltbar ist das bei etlichen, aber nicht allen anderen Herstellern auch. Wenn nicht, sollte es ausreichen, einfach die Batterie aus dem Schlüssel zu nehmen und mechanisch aufzuschließen bzw. per Start-Knopf anzulassen. :-)
SZ: Hast du schon mal gelesen, dass die Dinos Hackern ein Auto kostenlos zum Hacken zur Verfügung stellen und ihnen hinterher das Auto schenken? Das sie Hackern das Suchen nach Fehlern auch nur erlauben, geschweige denn dafür auch noch Prämien zahlen?
Ja, was das Auto zur Verfügung stellen und Geldprämien angeht, siehe z.Bsp. GM. Die bieten auch Fixbeträge an, wie auch Fiat-Crysler. Nach kurzem googlen finden sich Programme bei BMW, Ford und VW, die die Straffreiheit garantieren und einen Prozess etablieren, über den solche Meldungen gesammelt und koordiniert werden. Ob es Belohnung gibt, ist dort scheinbar Verhandlungssache. Das trifft übrigens auf die Mehrzahl aller Bug- und Security-Programme zu.
Fragles: Na ja, Tesla ist in der Hinsicht neben Apple (die praktizieren das schon sein 2016) Vorbild: [...] Von anderen Automobil-Herstellern ist zumindest nicht bekannt, dass sie einen "Bug Bounty Reward" anbieten.
Naja wahrscheinlich auch nur, weil Electrek nichts darüber berichtet hat. ;-)
https://www.wired.com/2016/01/...s-to-report-its-cars-security-flaws/
https://www.caranddriver.com/news/a15346865/...omes-with-a-big-catch/
Nochmal: Um IT-Sicherheit ist es generell bescheiden bestellt und zwar überall, nicht nur auf die Autobranche bezogen. Trotzdem sind Aussagen der Art ...
"In vielen Autos (der Dinos) ist es schlecht um die IT-Sicherheit bestellt (im Gegensatz zu Tesla)".
"Die Dinos tun alles um Meldungen über Lücken geheim zu halten (nicht aber Tesla)"
"Tesla arbeitet (im Gegensatz zu den Dinos) aktiv mit den IT-Sicherheitsspezialisten zusammen"
... schlicht nicht haltbar. Die beruhen meiner Meinung nach, wie so vieles, zum großen Teil schlicht darauf, dass entsprechende Meldungen in den Fan-Medien als etwas Besonderes breitgelatscht werden, weil man genüßlich jeden Informationsfurz durchkauen muss und sich in seiner Meinung bestätigen möchte, in der Firma würde alles sehr viel moderner und besser gemacht. Da man von "den Dinos" darüber nichts in diesen Medien gelesen hat, wird dann automatisch und ohne Recherche angenommen, die machen das alles ganz anders.
|