OTA Softwareupdate

Zitat von phchecker17

Ich hab übrigens glaube ich noch nie Sicherheitsverbesserungen in den OTAs von BMW gesehen, insofern würde ich fast behaupten, dass da sicherheitstechnisch recht wenig passiert, wenn es da nicht eine konkrete Sicherheitslücke gibt.

Mit der Version 07/2024.30 wurde u. a. eine gesetzliche Vorgabe im Umfeld des HuD umgesetzt. Nicht im klassischen sicherheitsrelevant und offenbar auch nicht kritisch genug in Bezug auf die StZVO, um einen Rückruf via KBA auszulösen. Einen solchen würde ich bei einer kritischen Sicherheitslücke aber erwarten.

Zitat von Toscha42

Das dürfte, üblichem Forums-Bias folgend, hier weit überdurchschnittlich vorkommen. 'In der freien Wildbahn' werden Liese- und Ottonormalnutzer*in Updates installieren. Wenn denn überhaupt welche angeboten werden.

Als ich im März bei BMW war meinte der Verkäufer das die APP (bei MINI) kaum genutzt bzw. überhaupt installiert wird. Dann kann man sich überlegen wie viel Interesse besteht.

Bei meinem F57 wurde z.B. in 3 Jahren kein Navi via USB aktualisiert. Nur als Beispiel.

(Im anderen Thema haben wir über die bescheuerte Geschwindigkeitswarnung geschrieben, es sind überwiegend die nicht Auto affinen Leute wo sich darüber aufregen weil die beim neuen Auto völlig überrascht werden von X Funktionen)

Zitat von Toscha42

Einen solchen würde ich bei einer kritischen Sicherheitslücke aber erwarten.

Seh ich auch so, aber ob dem so ist, werden wir wohl nicht rausfinden. Persönlich halte ich die Updates im Auto aber auch nicht für SO wichtig, wenn man selbst keine Probleme hat. Ich selbst würde aber keines offen lassen

Zitat von phchecker17

Seh ich auch so, aber ob dem so ist, werden wir wohl nicht rausfinden.

Zumindest nicht solange es keinen entsprechenden Rückruf gegeben haben wird.

Zitat von Kennz weis

Als ich im März bei BMW war meinte der Verkäufer das die APP (bei MINI) kaum genutzt bzw. überhaupt installiert wird. Dann kann man sich überlegen wie viel Interesse besteht.

Bei meinem F57 wurde z.B. in 3 Jahren kein Navi via USB aktualisiert. Nur als Beispiel.

Eine App ist ja nochmal eine andere Nummer. Da überrascht mich bestenfalls, dass die Zielgruppe 'young urban' so wenig affin sein soll.

Zitat von MrBlacky

Gegenfrage: Machst du auf deinem Handy auch keine Updates?

Ich weiß, dass ein Auto kein Handy ist. Aber ich denke es ist klar, worauf ich hinaus will.

Das sind zwei gänzlich ganz unterschiedliche paar Schuhe ... auch wenn man mit den E-Kisten immer mehr in Richtung Handy kommt

Zitat von AndyCorvetti

Das sind zwei gänzlich ganz unterschiedliche paar Schuhe ... auch wenn man mit den E-Kisten immer mehr in Richtung Handy kommt

Sehe ich anders.

Klar sind das zwei unterschiedliche paar Schuhe. Das eine ist ein Gerät, dass du als Anwender jeden Tag im Internet und mit diversen Apps verwendest. Dabei liest du Mails von externen Absendern, lädst Dateien und Apps aus dem Netz herunter, etc. Auch loggst du dich mit diesem einen Gerät häufig in fast allen deiner Accounts ein, z.B. auch Banking. Gibt es hier eine Sicherheitslücke, wird die üblicherweise innerhalb von kurzer Zeit aktiv von Angreifen ausgenutzt. Dafür müssen sie gar nicht viel über dich wissen, sondern du musst einfach nur die falsche Website besuchen - wenn überhaupt.

Beim Auto hingegen gibt es das alles nichts, du besuchst da keine Websites, und das Ding lädt auch nicht alles ausm Netz wild runter. Da gibt es fest definierte Verbindungen zu Servern für die Kommunikation, etc. Dazu kommt, dass selbst wenn es einen Zero-Day-Exploit gäbe, in den meisten Fällen eine örtliche Nähe gegeben sein müsste, um das beim Auto ausnutzen zu können, entsprechend müsste der Angreifer also auch wissen, wo du bist.

Davon abgesehen sind die Autohersteller wie hier schon geschrieben verpflichtet, bei kritischen Sicherheitslücken einen entsprechenden Rückruf über das KBA durchzuführen, während das bei Smartphones nicht der Fall ist. Hier tut sich gerade zwar viel - vor Allem in Deutschland (siehe: nächtlicher Polizeibesuch zuhause nach Softwarelücke) - aber Sicherheitsupdates beim Smartphone nicht zu machen ist einfach grob fahrlässig und schreit nach einer "Lektion", die ich schon mehrfach im Umfeld mitbekommen habe - das wünsche ich niemanden.

Kommt schon, Leute. Entweder man googled oder gesteht sich ein, dass ein Auto mit SIM-Karte erstmal genau so im Netzwerk unterwegs ist wie jedes andere Gerät. Dass Autos nicht ständig gehacked werden liegt womöglich einfach daran, dass es nicht lukrativ genug ist.

Klar agiert man selber nicht mit dem Fahrzeug ständig im Internet herum wie mit dem Handy. Aber allein schon die App mit den Remote-Funktionen bietet sicherlich genug Möglichkeiten potenziellen Angreifern aufs Fahrzeug zuzugreifen. Ja, hier wäre dann die Ursache nicht die mangelnde Sicherheit im Fahrzeug. Aber ich traue mir wetten, wenn man es mal in die Fahrzeugsoftware geschafft hat, dann ist da nicht viel mit "Schutz". Das sieht man ja auch daran, dass jeder Bauer mit nem OBD-Dongle und ner App Steuergeräte codieren kann.

Zitat von MrBlacky

Aber allein schon die App mit den Remote-Funktionen bietet sicherlich genug Möglichkeiten potenziellen Angreifern aufs Fahrzeug zuzugreifen. Ja, hier wäre dann die Ursache nicht die mangelnde Sicherheit im Fahrzeug. Aber ich traue mir wetten, wenn man es mal in die Fahrzeugsoftware geschafft hat, dann ist da nicht viel mit "Schutz". Das sieht man ja auch daran, dass jeder Bauer mit nem OBD-Dongle und ner App Steuergeräte codieren kann.

Ein Grund mehr, das Handy aktuell zu halten, damit auch die App sicher bleibt. Ich sag doch auch gar nicht, dass man es nicht machen sollte, aber es gibt schon wichtigere Dinge für Updates als das Fahrzeug, auch wenn das online ist.

Man muss da schon auch betrachten, wie man sich üblicherweise Malware etc. auf seinen Geräten einfängt. Ich wüsste jetzt keine Möglichkeit, wie ich das mit meinem i4 hinkriege. Hast du eine Idee?

Viel spannender ist da die Hardware-Seite, und da ist offen gesagt eh Hopfen und Malz verloren. Einerseits weil - wie schon genannt - OBD beispielsweise Unmengen an Einfallstüren bietet, und zum Anderen, weil sich hier halt auch größtenteils nichts dran ändern lässt. Neben OBD ist auch NFC (Digital Key) sehr anfällig für (MITM-)Angriffe etc. und ich bin mir sicher, dass ein echter Profi innerhalb weniger Minuten die volle Kontrolle über dein Fahrzeug hat. Und da hilft auch kein OTA-Update was.

Deswegen: Ich mach jedes Update und würde es auch empfehlen, die zu machen. Aber zu sagen, dass ein G20 ein unsicheres Fahrzeug ist, weil der Besitzer wegen Codierungen, Unlocks, etc. keine Updates macht, halte ich nicht für korrekt. Wie schon geschrieben erinnere ich mich nicht an relevante Sicherheitsupdates in den Patchnotes, und ich hab die als Beta-Tester eigentlich schon immer sehr ausführlich gelesen.

P.S. Dein verlinkter Artikel sagt fast dasselbe. Klar, in der Theorie wäre ein Angriff über den Mobilfunk möglich, den löst aber auch ein OTA nicht, insofern da nicht wirklich jemand bei BMW in der Entwicklung Mist gebaut hat. Und für fast alles andere braucht man Nähe zum Fahrzeug. Fakt ist, dass eben einfach viele alten Standards heute nicht mehr sicher sind bzw. überholt wurden. Und die Automobilindustrie setzt eben viel auf alte bzw. bestehende Standards. Um solche Sicherheitsprobleme in einem alten Fahrzeug zu lösen, müsste man diese quasi neu entwerfen, weil man ein OBD-System nicht mal eben ersetzt bekommt. Stattdessen verbessern die Hersteller das eben mit jeder Fahrzeuggeneration. Die Folge ist dann eben, dass Codierungen etc. auch unter die Räder kommen, weil die Steuergeräte entsprechend geschützt werden.

P.P.S. Wir haben das Thema Sicherheit im Auto in einem Seminar während meines Studiums betrachtet und das war damals schon sehr besorgniserrege

Zitat von MrBlacky

Klar agiert man selber nicht mit dem Fahrzeug ständig im Internet herum wie mit dem Handy. Aber allein schon die App mit den Remote-Funktionen bietet sicherlich genug Möglichkeiten potenziellen Angreifern aufs Fahrzeug zuzugreifen.

Es hat doch niemand Vorteile durch den Zugriff aufs Auto. Beim Handy kann man auf Konten zugreifen und sich bereichern.