Logo von heise online

Suche
Jürgen Schmidt 206

Die Mär von Ducatis unsicherer PIN

Bis zu einem Eintrag in die Open Source Vulnerability Database hat es die Geschichte vom "Ducati Diavel Motorcycle Default Ignition Password" gebracht, die seit einigen Monaten die Runde macht. Demnach ließe sich die vierstellige PIN, mit der man das Bike auch ohne Schlüssel starten kann, direkt aus der leicht zu ermittelnden Fahrzeugnummer ableiten; das geflügelte Wort vom "Drive-away-Exploit" machte die Runde. Dumm nur, dass es nicht stimmt.

Anzeige

Fakt ist, dass Ducatis Diavel und auch bereits die Multistrada eine PIN-Eingabemöglichkeit haben, mit der man nicht nur den Zündschlüssel ersetzen, sondern auch die Wegfahrsperre überbrücken kann. Der Rest beruht auf Gerüchten. So bestätigte Ralf Müller vom Ducati-Tuner und -Händler BeFaster gegenüber heise Security, dass die Neufahrzeuge vom Werk ohne PIN beim Händler angeliefert werden. Dessen Aufgabe ist es dann, die vierstellige PIN zu setzen und bei der Fahrzeugübergabe dem Kunden zu erklären, dass und wie er diese PIN ändern sollte. Ein üblicher Tipp ist es, die der EC-Karte zu nehmen, da man diese sicher nicht vergisst.

Eigentlich hat Ducati hier alles richtig gemacht; viel besser kann man ein derartiges Sicherheitskonzept eigentlich nicht umsetzen.Trotzdem kam es zu diesem Bericht über ein eklatantes Sicherheitsproblem. Paul Ducklin vermutet im Blog von Sophos, dass er auf einem Fall beruhen könnte, bei dem ein Händler tatsächlich die letzten vier Stellen der Fahrzeugnummer als PIN seiner Leihmaschine verwendet hat. Dies sei einem Blogger aufgefallen, der daraus eine lustige Geschichte machte, die sich dann rasant verbreitete.

Unberücksichtigt bleibt bei all dem allerdings die Frage, ob es eventuell möglich ist, mit einem selbst gebauten Device die 10.000 möglichen PIN-Kombinationen mal eben schnell durch zu probieren. Wir werden dem weiter nachgehen. (ju)

206 Kommentare

Anzeige
  1. Was war. Was wird. Von hehren Zielen und bitterem Scheitern

    Was war. Was wird. Von hehren Zielen und bitterem Scheitern

    Ein Land in Mittelamerika ist in aller Munde, auch in Hal Fabers. Doch während die einen daran arbeiten, ihn ins rechte Licht zu rücken und die anderen verkrampft das Haar in der Suppe suchen, erinnert er daran, dass die EU die Münder schließen will.

  2. Bruteforce-Angriff auf iOS-PIN auch mit aktiver Gerätelöschfunktion möglich

    iPhone 6 und iPhone 6 Plus

    Mit einer speziellen Hardware lässt sich der vierstellige Code knacken, auch wenn das Gerät eigentlich nur zehn Versuche zulassen sollte. Betroffen ist mindestens iOS 8.1.

  3. Was war. Was wird. Von freien Piraten und anderen Fallstricken.

    Moskstraumen, Mahlstrom

    Deutschland im Herbst, bleierne Zeit. Aber anders als in den 70er Jahren, wohl aber genauso deprimierend, meint Hal Faber. Sinnlos, sich gegen den Mahlstrom der Zeit zu wehren? Ach was! Wo bleibt denn da das Positive?

  4. 20 Jahre heise online: Nichts ist nur Geschichte, nichts ist nur Zukunft

    On, Einschalten, Start

    Vor 20 Jahren startete der Newsticker von heise online unspektakulär mit 4 Nachrichten. Ein erster Rück- und Ausblick: eine Art Erinnerungserinnerung und ein Beginn der Zukunft.

  1. 90 Jahre Ducati

    Klassiker

    Gestartet ist Ducati 1926 als Elektrikfirma. Ihr erstes Krad entstand im Zeichen des Nachkriegs-Beförderungsnotstands. Heute ist Ducati mit einer breiten Motorradpalette erfolgreich. Ihren Kultstatus hat sie einfallsreicher Technik und den unzähligen Siegen der rot lackierten Bikes im Rennsport zu verdanken

  2. Kernel-Log – Was 3.13 bringt (4): Treiber

    Zur Problemvermeidung nutzt der Kernel eine wichtige USB-3.0-Stromsparfunktion nicht mehr automatisch. Besitzer von Apple-Tastaturen können nun die Belegung von Option- und Command-Taste tauschen.

  3. Zu Land, zu Wasser und in der Luft

    Schlafen in van Goghs Zimmer, auf einer Jacht dahinschippern oder bei Privatpiloten einsteigen – die Sharing Economy eröffnet spannende Möglichkeiten, seine freien Tage zu verbringen.

  1. SSDs im Test: 1 Terabyte für kaum mehr als 200 Euro

    SSDs, schnell und günstig

    SSDs haben sich als Systembeschleuniger durchgesetzt, kaum ein privater Rechner startet noch von einer herkömmlichen Festplatte. Für die Datenablage kommt zwar häufig noch eine Magnetplatte zum Einsatz, doch das könnte sich bald ändern.

  2. Fliegendes Motorrad von Chaos-Bastler Colin Furze

    Colin Furze baut manntragenden, bezinbetriebenen Duo-Copter

    Wie viele Propeller braucht man, um einen Menschen in die Luft zu pusten? Dem britischen Bastler Colin Furze (nur echt mit Schlips und Hemd aus der Hose) reichen zwei – Hauptsache, sie machen tüchtig Lärm.

  3. Windows 95 auf Apple Watch emuliert

    Windows 95 auf Apple Watch emuliert

    Ein findiger Entwickler hat es geschafft, Windows 95 auf der Apple Watch zum Laufen zu bringen. Dazu bedurfte es eines ungewöhnlichen Tricks.

  4. Kaspersky: Fast alle Geldautomaten unsicher

    Fast alle Geldautomaten unsicher

    Vor allem wegen Windows XP – aber auch aufgrund anderer Sicherheitsmängel sind laut einer Analyse von Kaspersky Lab fast alle Geldautomaten anfällig für Angriffe, an deren Ende das Leeren des Bargeldbestandes oder das Abgreifen von Kundendaten steht.

Anzeige