(1) Da heißt es, die Behebung eines derartigen Mangels sei nicht einzuklagen. Ich gehe vom Gegenteil aus. Sofern der Aufwand zum Knacken tatsächlich derart gering und das Vorgehen tatsächlich so erfolgversprechend ist, wie das anklingt, sind erstens zivilrechtlichen Ansprüchen Tür und Tor geöffnet. Zweitens rückt das Ganze für meine Begriffe arg nahe an den strafrechtlichen Bereich des Betruges (Vorsatz durch Subaru, Ziel eigener Vermögensmehrung durch Subaru, Vortäuschung eines mindestsicheren Schließmechanismus), zumindest in Deutschland. Aber wo VW schon nicht belangt wird und "geltendes" Recht augenscheinlich ausgesetzt...
(2) Da heißt es, die Nichtreaktion seitens Subaru sei verständlich. Nein, das sehe ich nicht so. Es gilt, bei Bekanntwerden einer Sicherheitslücke, vor allem einer womöglich weitreichenden und selbstverschuldeten, erst einmal Zeit zu gewinnen us Sicht des Herstellers. Daher ist eine schnellstmögliche Rückmeldung (und damit meine ich außerhalb der normalen IRT) geboten. Zumindest um um etwas Aufschub zu ersuchen, um das an die richtige Stelle zu leiten, dem auf den Grund zu gehen und eine fundierte Stellungnahme abgeben zu können.
(3) Da heißt es, der Fehlerfinder hätte das nicht oder nicht so zeitnah publik machen dürfen. So ein Quatsch! Es sind imho alleine gute Manieren und Generosität und Freiwilligkeit, so etwas an gepfuscht habende Hersteller zu melden. Es besteht kein, aber auch gar kein herstellerseitiger Anspruch auf derlei Informationen. Der besteht allenfalls, wenn der Fehler ohne eigenes Verschulden des Herstellers (oder das Verschulden eines vertraglich gebundenen Drittherstellers) zustandekam. Ich muss jedes Mal an mich halten, was sich Unternehmen, die derlei sträflich ihr eigenes Qualitätsmanagement geopfert haben, wohl zwecks Rendite, oder die gar absichtlich, weil billiger und fällt wohl eh keinem auf, Schwachstellen verbaut haben, herausnehmen, indem sie Ansprüche auf Informiertwerden erheben. Für mich verböte es sich sogar, solchen Herstellern beizustehen. Anders sieht das wie gesagt aus, wenn der Hersteller nicht schuld an den betreffenden Fehlern ist, sondern er nach bestem Wissen state-of-the-art gehandelt zu haben scheint. Generell wünsche ich mir, dass Sicherheitsforscher mehr darauf drängen, dass Hersteller gleich im Vorfeld möglichst sichere Produkte entwickeln. Und nicht dem Flickwerk Vorschub leisten, wie es heutzutage immer üblicher wird. Keine Toleranz für selbstverschuldete, idiotische Fehler! Die Kunden sollen sich gefälligst am jeweiligen verdummbeutelnden Hersteller schadlos halten. Aus der Rolle als verantwortungsvoller Hersteller ergeht eben nicht bloß das Recht, Gewinne abzuschöpfen, sondern auch die Verpflichtung und Verantwortung, Nutzbarkeit und Mindeststandards zu gewährleisten und den Ansprüchen, die gerechtfertigt gestellt werden, zu genügen. Punkt. Rant Ende.
Das Posting wurde vom Benutzer editiert (18.10.2017 22:47).