BMWs ConnectedDrive ist löchrig

Sicherheitsexperten haben zwei Lücken in BMWs Online-Angeboten rund um ConnectedDrive entdeckt. Die Schonfrist für die Veröffentlichung war abgelaufen, ohne dass der KFZ-Hersteller die Probleme behoben hat.

In Pocket speichern vorlesen Druckansicht 61 Kommentare lesen
BMWs ConnectedDrive ist löchrig
Lesezeit: 1 Min.
Von
  • Peter Siering

Das Vulnerability Laboratory Research Team soll bereits im Februar zwei Lücken entdeckt haben, die BMWs Online-Dienste betreffen. Jetzt haben die Sicherheitsexperten ausführlich Informationen dazu veröffentlicht und mitgeteilt, dass die Lücken bisher nicht geschlossen sind.

Die eine Schwachstelle betrifft die Registrierung von Fahrzeugen anhand einer Fahrzeugnummer (VIN). Die dafür vorgesehene Überprüfung lässt sich überrumpeln, sodass Konfigurationsdaten anderer Fahrzeuge offen stehen. Damit sollen sich nicht nur Playlisten, E-Mail-Konten, Fahrrouten und Verkehrsinformationen manipulieren, sondern Fahrzeuge auch auf- und abschließen lassen.

Die zweite Lücke erlaubt klassische Cross-Site-Scripting-Angriffe im BMW-Web-Angebot. Sie betrifft pikanterweise den Code, der sich um das Rücksetzen von Passwörtern kümmert. Die Experten haben herausgefunden, dass sich dort Schadcode injizieren lässt. Angriffe, die sich eine dieser Lücken zunutze machen, erfordern nur die Rechte regulärer Nutzer. (ps)