Menü

BMWs ConnectedDrive ist löchrig

Sicherheitsexperten haben zwei Lücken in BMWs Online-Angeboten rund um ConnectedDrive entdeckt. Die Schonfrist für die Veröffentlichung war abgelaufen, ohne dass der KFZ-Hersteller die Probleme behoben hat.

von
vorlesen Drucken Kommentare lesen 61 Beiträge
BMWs ConnectedDrive ist löchrig

Das Vulnerability Laboratory Research Team soll bereits im Februar zwei Lücken entdeckt haben, die BMWs Online-Dienste betreffen. Jetzt haben die Sicherheitsexperten ausführlich Informationen dazu veröffentlicht und mitgeteilt, dass die Lücken bisher nicht geschlossen sind.

Die eine Schwachstelle betrifft die Registrierung von Fahrzeugen anhand einer Fahrzeugnummer (VIN). Die dafür vorgesehene Überprüfung lässt sich überrumpeln, sodass Konfigurationsdaten anderer Fahrzeuge offen stehen. Damit sollen sich nicht nur Playlisten, E-Mail-Konten, Fahrrouten und Verkehrsinformationen manipulieren, sondern Fahrzeuge auch auf- und abschließen lassen.

Die zweite Lücke erlaubt klassische Cross-Site-Scripting-Angriffe im BMW-Web-Angebot. Sie betrifft pikanterweise den Code, der sich um das Rücksetzen von Passwörtern kümmert. Die Experten haben herausgefunden, dass sich dort Schadcode injizieren lässt. Angriffe, die sich eine dieser Lücken zunutze machen, erfordern nur die Rechte regulärer Nutzer. (ps)

Anzeige
Zur Startseite
Anzeige