Logo von heise online

Suche
206

Die Mär von Ducatis unsicherer PIN

Bis zu einem Eintrag in die Open Source Vulnerability Database hat es die Geschichte vom "Ducati Diavel Motorcycle Default Ignition Password" gebracht, die seit einigen Monaten die Runde macht. Demnach ließe sich die vierstellige PIN, mit der man das Bike auch ohne Schlüssel starten kann, direkt aus der leicht zu ermittelnden Fahrzeugnummer ableiten; das geflügelte Wort vom "Drive-away-Exploit" machte die Runde. Dumm nur, dass es nicht stimmt.

Anzeige

Fakt ist, dass Ducatis Diavel und auch bereits die Multistrada eine PIN-Eingabemöglichkeit haben, mit der man nicht nur den Zündschlüssel ersetzen, sondern auch die Wegfahrsperre überbrücken kann. Der Rest beruht auf Gerüchten. So bestätigte Ralf Müller vom Ducati-Tuner und -Händler BeFaster gegenüber heise Security, dass die Neufahrzeuge vom Werk ohne PIN beim Händler angeliefert werden. Dessen Aufgabe ist es dann, die vierstellige PIN zu setzen und bei der Fahrzeugübergabe dem Kunden zu erklären, dass und wie er diese PIN ändern sollte. Ein üblicher Tipp ist es, die der EC-Karte zu nehmen, da man diese sicher nicht vergisst.

Eigentlich hat Ducati hier alles richtig gemacht; viel besser kann man ein derartiges Sicherheitskonzept eigentlich nicht umsetzen.Trotzdem kam es zu diesem Bericht über ein eklatantes Sicherheitsproblem. Paul Ducklin vermutet im Blog von Sophos, dass er auf einem Fall beruhen könnte, bei dem ein Händler tatsächlich die letzten vier Stellen der Fahrzeugnummer als PIN seiner Leihmaschine verwendet hat. Dies sei einem Blogger aufgefallen, der daraus eine lustige Geschichte machte, die sich dann rasant verbreitete.

Unberücksichtigt bleibt bei all dem allerdings die Frage, ob es eventuell möglich ist, mit einem selbst gebauten Device die 10.000 möglichen PIN-Kombinationen mal eben schnell durch zu probieren. Wir werden dem weiter nachgehen. (ju)

206 Kommentare

  1. 31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    Sicherheitsforscher haben bekannte Attacken auf Bank- und Kreditkarten, die dem EMV-Standard folgen und auf Chips zum Manipulationsschutz setzen, zusammengefügt und so den "Panzer" um Transaktionen fast völlig ausgehebelt.

  2. "Rootpipe": Rechteausweitung für OS X 10.10 gibt Admin-Accounts direkt Root

    Ein Fehler, der offenbar mindestens in OS X 10.10 und 10.8.5 steckt, gibt lokalen Nutzern ohne Passworteingabe Super-User-Rechte. Was genau dahinter steckt, ist noch unklar.

  3. Bruteforce-Angriff auf iOS-PIN auch mit aktiver Gerätelöschfunktion möglich

    iPhone 6 und iPhone 6 Plus

    Mit einer speziellen Hardware lässt sich der vierstellige Code knacken, auch wenn das Gerät eigentlich nur zehn Versuche zulassen sollte. Betroffen ist mindestens iOS 8.1.

  1. Kernel-Log – Was 3.8 bringt (3): Treiber

    Der Linux-Kernel bringt jetzt alles Nötige mit, um die 3D-Beschleunigung sämtlicher GeForce-Grafikchips zu verwenden. Neu dabei sind auch Treiber für einen Wireless-Gigabit-Chip und einen PCIe-WLAN-Chip von Realtek.

  2. Lieber kostenlos als schnell

    Während viele Online-Händler nach einem Weg suchen, ihren Versand zu beschleunigen, wäre den Kunden ein dauerhaft kostenloser Versand lieber.

  3. Wollt ihr die totale Überwachung?

    Verschlüsselt und werdet Extremisten, denn es wird Zeit, dass wir aufhören, uns auf die dunkle Seite der Macht zu begeben.

  1. Papierflieger-Katapult aus zwei DVDs

    Papierflieger-Katapult aus zwei DVDs

    Aus zwei DVDs, einem Paar passender Motoren, einem Akku oder Netzteil sowie ein paar Holzteilen kann man in kurzer Zeit ein ziemlich wirkungsvolles Katapult für Papierflieger bauen.

  2. Sicherheitslücken im Android-Multimedia-System eskalieren

    Google-Android

    Die Schwachstellen im Multimedia-System sind gefährlicher als zuerst vermutet: Mit manipulierten MP4-Videos könnten Angreifer Kontrolle übers Smartphone erlangen.

  3. Windows 10: Upgrade-Download von Hand anstoßen

    Windows 10

    Wenn trotz Reservierung kein Download des Windows-10-Upgrades auf der Festplatte landet, kann ein Kommandozeilenbefehl das Herunterladen starten. Eine Garantie für eine sofortige Installation ist das allerdings nicht.

  4. GDC Europe 2015: VR-Brillen, DirectX12 und Frauen in der Spielebranche

    GDC Europe 2014

    Kurz vor der Gamescom findet in Köln die Entwicklerkonferenz GDC Europe statt. In diesem Jahr geht es um VR-Brillen, die neuen 3D-APIs DirectX 12 & Vulkan sowie um die Frage, warum Frauen in der Spieleindustrie noch schlechter verdienen als Männer.

Anzeige