Logo von heise online

Suche
Jürgen Schmidt 206

Die Mär von Ducatis unsicherer PIN

Bis zu einem Eintrag in die Open Source Vulnerability Database hat es die Geschichte vom "Ducati Diavel Motorcycle Default Ignition Password" gebracht, die seit einigen Monaten die Runde macht. Demnach ließe sich die vierstellige PIN, mit der man das Bike auch ohne Schlüssel starten kann, direkt aus der leicht zu ermittelnden Fahrzeugnummer ableiten; das geflügelte Wort vom "Drive-away-Exploit" machte die Runde. Dumm nur, dass es nicht stimmt.

Anzeige

Fakt ist, dass Ducatis Diavel und auch bereits die Multistrada eine PIN-Eingabemöglichkeit haben, mit der man nicht nur den Zündschlüssel ersetzen, sondern auch die Wegfahrsperre überbrücken kann. Der Rest beruht auf Gerüchten. So bestätigte Ralf Müller vom Ducati-Tuner und -Händler BeFaster gegenüber heise Security, dass die Neufahrzeuge vom Werk ohne PIN beim Händler angeliefert werden. Dessen Aufgabe ist es dann, die vierstellige PIN zu setzen und bei der Fahrzeugübergabe dem Kunden zu erklären, dass und wie er diese PIN ändern sollte. Ein üblicher Tipp ist es, die der EC-Karte zu nehmen, da man diese sicher nicht vergisst.

Eigentlich hat Ducati hier alles richtig gemacht; viel besser kann man ein derartiges Sicherheitskonzept eigentlich nicht umsetzen.Trotzdem kam es zu diesem Bericht über ein eklatantes Sicherheitsproblem. Paul Ducklin vermutet im Blog von Sophos, dass er auf einem Fall beruhen könnte, bei dem ein Händler tatsächlich die letzten vier Stellen der Fahrzeugnummer als PIN seiner Leihmaschine verwendet hat. Dies sei einem Blogger aufgefallen, der daraus eine lustige Geschichte machte, die sich dann rasant verbreitete.

Unberücksichtigt bleibt bei all dem allerdings die Frage, ob es eventuell möglich ist, mit einem selbst gebauten Device die 10.000 möglichen PIN-Kombinationen mal eben schnell durch zu probieren. Wir werden dem weiter nachgehen. (ju)

206 Kommentare

Anzeige
  1. Was war. Was wird. Von hehren Zielen und bitterem Scheitern

    Was war. Was wird. Von hehren Zielen und bitterem Scheitern

    Ein Land in Mittelamerika ist in aller Munde, auch in Hal Fabers. Doch während die einen daran arbeiten, ihn ins rechte Licht zu rücken und die anderen verkrampft das Haar in der Suppe suchen, erinnert er daran, dass die EU die Münder schließen will.

  2. Was war. Was wird. Wir sind und wir hassen uns, darum werden wir ...

    Was war. Was wird. Wir sind und wir hassen uns, darum werden wir ...

    An manchen Orten wurstelt es sich eben noch wurstiger als in Berlin, stellt Hal Faber fest. Gegen den Präventionsstaat, in dem die Politik von Paranoikern am Nasenring durch die Arena gezogen wird, helfen keine Furchtableiter.

  3. MagSpoof: Hacker bezahlt mit Kreditkarten-Kopie auf einem Chip

    MagSpoof imitiert Kreditkarten

    Samy Kamkar hat sich sehr kompakte Hardware gebaut, auf der er die Magnet-Daten mehrerer Kreditkarten speichern kann. Diese können zum Bezahlen dann an herkömmliche Bezahlterminals übermittelt werden.

  4. Was war. Was wird. Von den Zigeunern am Rande des Universums

    Was war. Was wird. Von den Zigeunern am Rande des Universums

    Ach ja, die deutsche Sprache. Manche lassen sich durch sie dazu verrenken, von einer "thymotischen Unterversorgung" zu schwafeln. Derweil singt im Apple Store leise aus den Boxen David Bowie, den Hal Faber vor einer Woche noch hochleben ließ.

  1. Zu Land, zu Wasser und in der Luft

    Schlafen in van Goghs Zimmer, auf einer Jacht dahinschippern oder bei Privatpiloten einsteigen – die Sharing Economy eröffnet spannende Möglichkeiten, seine freien Tage zu verbringen.

  2. Ducati Modelle 2016

    Zweirad

    Ducati hat auf der EICMA nicht weniger als elf neue Modelle präsentiert. Auch wenn es eigentlich bereits bekannte Bikes mit neuen Motoren oder neuen Komponenten sind, ist trotzdem sehenswert, was die Italiener da alles für ihre Marktoffensive auf die Räder gestellt haben

  3. Keine Sicherheit, nirgends

    Jede neue Branche, die ins Internet der Dinge einsteigt, macht offenbar immer wieder die gleichen Anfängerfehler.

  1. Kommentar zu den neuen AGBs bei WhatsApp: Es gibt doch nichts geschenkt

    Facebook und WhatsApp

    Seit dem Kauf durch Facebook war WhatsApp seltsam antikapitalistisch: Die App ist kostenlos und Facebook durfte nicht an die Nutzerdaten. Die neuen Datenschutzrichtlinien beenden nur die verkehrte Welt, findet Johannes Merkert.

  2. Erpressungs-Trojaner Fantom tarnt sich als kritisches Windows Update

    Erpressungs-Trojaner Fantom tarnt sich als Windows Update für kritische Lücke

    Hinter einem Fake-Windows-Update lauert ein Verschlüsselungs-Trojaner, der es auf die Dateien des Opfers abgesehen hat. Der Verbreitungsweg ist aktuell unbekannt. Eine Infektion über den offiziellen Windows-Update-Service ist aber auszuschließen.

  3. Kommentar zur Spionagesoftware "Pegasus": Apple hat vorbildlich reagiert

    iPhone 6S

    Es liegt wohl am Sommerloch, dass in den Medien wegen eines Spionagetools Apples Untergang herbeigeredet wird. Dabei hat Cupertino gerade einmal mehr bewiesen, dass iOS die sicherste Mobilplattform ist, findet Jeremias Radke.

  4. Fiat Tipo 1.6 E-torQ im Test

    Test: Fiat Tipo

    Der neue Fiat Tipo ist einer der preiswertesten Vertreter seiner Klasse. Im Test zeigte sich, dass jene Käufer, die bei Motor und Ausstattung nah an der Basis bleiben, auf einem guten Weg zum besten Tipo sind

Anzeige