Hallo.
Ich glaube das war hier noch nicht Thema:
https://www.chip.de/news/Schwe…ur-die-FIN_185989668.html
Das bestärkt mich mal wieder in meiner Meinung, dass bei Cariad einfach nur die ultimative Inkompetenz herrscht.
Ich frage mich wirklich, nach welchen Kriterien die Ihre Entwickler ausgesucht haben, und ob es da *irgendeine* kompetente Kontrollinstanz gibt oder gab (die Frage beantwortet sich von selbst, udn ist rein rhetorisch).
Die genauen Details werden wir vermutlich so schnell nicht erfahren, obwohl solche Lücken eigentlich nach DSGVO veröffentlicht werden müssen. Aber wenn die *wirklich* die Lücke in der App anstatt auf dem Backend "gefixt" haben (danach klingt es ja erstmal), bleibt einem nur noch laut zu schreien. Allerdings kann ich mir das nun wirklich nicht mehr vorstellen, das wäre einfach zu albern.
Schwere Sicherheitslücke bei VW, vermutlich Skoda auch.
-
-
Wäre noch zielführend gewesen, wenn das Investigativ-Magazin „Chip“ die Versionsnummer genannt hätte, bis zu welcher die App gefährdet war.
Das Problem der fehlenden Software-Quality Assurance zieht sich durch CARIAD und den Konzern seit dem Start von MEB, immerhin haben sie aber ja reagiert.
-
Wir ITler nennen die Chip nicht ohne Grund schon länger "Computerbild" als es die Computerbild tatsächlich gibt.
Allerdings gibt es bisher erstaunlich wenig öffentliche Informationen dazu.
Aber das hier hat wirklich nichts mit "mangelnder" Qualitätssicherung zu tun. Wer so eine Funktion, egal in welchem Status, ohne Begrenzung der Authentifizierungsversuche nach Zeit oder Anzahl programmiert, darf *NIEMALS* auc nru eine Zeile Code schreiben. Und wer sowas wirklich in die freie Wildbahn entlässt, ohne das zu merken hat *gar keine* Qualitätssicherung. -
Naja, ein Audit, dass solche sicherheitsrelevanten Themen adressiert, fällt bei mir schon unter QA. Oder nicht ?
-
Im Artikel steht:
ZitatDie gute Nachricht: Volkswagen wurde bereits im November 2024 über diese Sicherheitslücke informiert und hat im Mai 2025 den Fehler behoben.
-
Im Artikel steht aber nicht, wie oder wo. Man kann das durchaus so verstehen, als wenn sie das *in der App* "gefixt" haben, es also mit alten versionen der Apps immernoch geht.
Aber selbst wenn nicht, *so* ein Bug ist eine (erneute) totale Bankrotterklärung. Man kann das gar nciht deutlich genug machen. Dass ist fast so, als wenn man beim Design eines Autos die Türschlösser vergisst, und das erst merkt wenn sich die Kunden beim Ausliefern beschweren -
Bin ich ganz bei dir. Sie haben auch 6 Monate für den Fix benötigt.
Dennoch sehe ich das recht entspannt. Meine Apps sind stets aktuell, sodass ich dieses Problem wohl nicht mehr habe. Wer in einem halben Jahr keine Apps updatet, hat vermutlich auch an anderen Stellen Tür und Tor geöffnet. -
Es geht ja bei dem Fehler nicht darum, dass *Du* das Problem in Deiner App hast. Es geht darum, dass jemand anders nur mit Deiner VIN sich Zugriff auf Dein Auto verschaffen kann. Da ändert die Version *Deiner* App gar nichts dran, die verhindert nur, dass Du das nicht mehr kannst.
Ich kann nur sehr hoffen, dass das Problem im Backend auf den Servern gefixt wurde. Bei den Bisherigen Kloppern die sich Cariad so alle geleistet hat, würde ich da aber nicht drauf wetten wollen. -
Problematisch ist, dass eine Aktualisierung der App auf Ihrem Gerät den Fehler nicht aus der Welt räumt. Es kommt nur darauf an, welche Version der Angreifer verwendet. Somit ist die Angriffsmethode theoretisch immer noch möglich.
Das heißt, wenn ich (als Angreifer) eine alte App installiere, komme ich damit auch ins System.
-
Na ich hoffe doch zumindest, dass der Code nicht in der App, sondern serverseitig geprüft wird. Dann ist die App-Version egal, solange die Lücke im Backend gefixt wurde.