Logo von heise online

Suche
206

Die Mär von Ducatis unsicherer PIN

Bis zu einem Eintrag in die Open Source Vulnerability Database hat es die Geschichte vom "Ducati Diavel Motorcycle Default Ignition Password" gebracht, die seit einigen Monaten die Runde macht. Demnach ließe sich die vierstellige PIN, mit der man das Bike auch ohne Schlüssel starten kann, direkt aus der leicht zu ermittelnden Fahrzeugnummer ableiten; das geflügelte Wort vom "Drive-away-Exploit" machte die Runde. Dumm nur, dass es nicht stimmt.

Anzeige

Fakt ist, dass Ducatis Diavel und auch bereits die Multistrada eine PIN-Eingabemöglichkeit haben, mit der man nicht nur den Zündschlüssel ersetzen, sondern auch die Wegfahrsperre überbrücken kann. Der Rest beruht auf Gerüchten. So bestätigte Ralf Müller vom Ducati-Tuner und -Händler BeFaster gegenüber heise Security, dass die Neufahrzeuge vom Werk ohne PIN beim Händler angeliefert werden. Dessen Aufgabe ist es dann, die vierstellige PIN zu setzen und bei der Fahrzeugübergabe dem Kunden zu erklären, dass und wie er diese PIN ändern sollte. Ein üblicher Tipp ist es, die der EC-Karte zu nehmen, da man diese sicher nicht vergisst.

Eigentlich hat Ducati hier alles richtig gemacht; viel besser kann man ein derartiges Sicherheitskonzept eigentlich nicht umsetzen.Trotzdem kam es zu diesem Bericht über ein eklatantes Sicherheitsproblem. Paul Ducklin vermutet im Blog von Sophos, dass er auf einem Fall beruhen könnte, bei dem ein Händler tatsächlich die letzten vier Stellen der Fahrzeugnummer als PIN seiner Leihmaschine verwendet hat. Dies sei einem Blogger aufgefallen, der daraus eine lustige Geschichte machte, die sich dann rasant verbreitete.

Unberücksichtigt bleibt bei all dem allerdings die Frage, ob es eventuell möglich ist, mit einem selbst gebauten Device die 10.000 möglichen PIN-Kombinationen mal eben schnell durch zu probieren. Wir werden dem weiter nachgehen. (ju)

206 Kommentare

  1. 31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    Sicherheitsforscher haben bekannte Attacken auf Bank- und Kreditkarten, die dem EMV-Standard folgen und auf Chips zum Manipulationsschutz setzen, zusammengefügt und so den "Panzer" um Transaktionen fast völlig ausgehebelt.

  2. Bruteforce-Angriff auf iOS-PIN auch mit aktiver Gerätelöschfunktion möglich

    iPhone 6 und iPhone 6 Plus

    Mit einer speziellen Hardware lässt sich der vierstellige Code knacken, auch wenn das Gerät eigentlich nur zehn Versuche zulassen sollte. Betroffen ist mindestens iOS 8.1.

  3. "Rootpipe": Rechteausweitung für OS X 10.10 gibt Admin-Accounts direkt Root

    Ein Fehler, der offenbar mindestens in OS X 10.10 und 10.8.5 steckt, gibt lokalen Nutzern ohne Passworteingabe Super-User-Rechte. Was genau dahinter steckt, ist noch unklar.

  1. Hypex VR6

    Hypex VR6

    Es ist und bleibt ehrgeizig: Die neue Firma Horex, die den alten Namen gekauft hat, baut Motorräder mit VR-Motor, verkauft sie nur selbst, zu Preisen mit Höhenluft. Jetzt musste die GmbH Insolvenz anmelden

  2. Händler machen mobil gegen Hersteller-Verbote

    Hersteller aus allen Branchen machen es adidas nach und untersagen Händlern über Online-Marktplätze zu verkaufen. Hersteller haben dabei nur das Wohl der Kunden im Blick. Der Online-Handel sieht das anders und hat die Initiative "Choice in eCommerce" gegründet.

  3. Lieber kostenlos als schnell

    Während viele Online-Händler nach einem Weg suchen, ihren Versand zu beschleunigen, wäre den Kunden ein dauerhaft kostenloser Versand lieber.

  1. Apple-Watch-Display im Kratztest

    Apple Watch

    US-Warentester haben die Härte des Saphir-Displays der Apple Watch mit dem Bildschirm der billigeren Apple Watch Sport verglichen. Erste Nutzer beklagen Kratzer im Edelstahlgehäuse der Uhr.

  2. Grüne wollen neue Vorratsdatenspeicherung bekämpfen

    Grüne stellen sich gegen neue Vorratsdatenspeicherung

    Der Kleine Parteitag der Grünen hat den schwarz-roten Plan, elektronische Nutzerspuren wieder anlasslos zu protokollieren, entschieden abgelehnt. Auch die SPD Sachsen stellt sich gegen das "nicht nachvollziehbare" Vorhaben.

  3. Schnittige Melange

    Suzhou Eagle Carrie

    Der Carrie von Suzhou Eagle trägt einen unpassenden Namen. Carrie klingt nach to carry, also nach Nutzfahrzeug und auch ein bisschen nach Caddy, der ja als VW-Modell ebenfalls ein Transporter ist. Doch will er ein Sportwagen sein und kommt einem dabei merkwürdig bekannt vor

  4. Von Angela Merkel bis Conchita Wurst: dpa-Bilder des Jahres 2014

    Von Angela Merkel bis Conchita Wurst: dpa-Bilder des Jahres 2014

    Was verbindet die Kanzlerin mit Sir Simon Rattle, Sigmar Gabriel und Conchita Wurst? Alle vier sind auf Fotos zu sehen, die zu den "dpa-Bildern des Jahres 2014" gehören. Eine unabhängige Expertenjury hat 18 Fotografien mit der Auszeichnung bedacht.

Anzeige