Logo von heise online

Suche
206

Die Mär von Ducatis unsicherer PIN

Bis zu einem Eintrag in die Open Source Vulnerability Database hat es die Geschichte vom "Ducati Diavel Motorcycle Default Ignition Password" gebracht, die seit einigen Monaten die Runde macht. Demnach ließe sich die vierstellige PIN, mit der man das Bike auch ohne Schlüssel starten kann, direkt aus der leicht zu ermittelnden Fahrzeugnummer ableiten; das geflügelte Wort vom "Drive-away-Exploit" machte die Runde. Dumm nur, dass es nicht stimmt.

Anzeige

Fakt ist, dass Ducatis Diavel und auch bereits die Multistrada eine PIN-Eingabemöglichkeit haben, mit der man nicht nur den Zündschlüssel ersetzen, sondern auch die Wegfahrsperre überbrücken kann. Der Rest beruht auf Gerüchten. So bestätigte Ralf Müller vom Ducati-Tuner und -Händler BeFaster gegenüber heise Security, dass die Neufahrzeuge vom Werk ohne PIN beim Händler angeliefert werden. Dessen Aufgabe ist es dann, die vierstellige PIN zu setzen und bei der Fahrzeugübergabe dem Kunden zu erklären, dass und wie er diese PIN ändern sollte. Ein üblicher Tipp ist es, die der EC-Karte zu nehmen, da man diese sicher nicht vergisst.

Eigentlich hat Ducati hier alles richtig gemacht; viel besser kann man ein derartiges Sicherheitskonzept eigentlich nicht umsetzen.Trotzdem kam es zu diesem Bericht über ein eklatantes Sicherheitsproblem. Paul Ducklin vermutet im Blog von Sophos, dass er auf einem Fall beruhen könnte, bei dem ein Händler tatsächlich die letzten vier Stellen der Fahrzeugnummer als PIN seiner Leihmaschine verwendet hat. Dies sei einem Blogger aufgefallen, der daraus eine lustige Geschichte machte, die sich dann rasant verbreitete.

Unberücksichtigt bleibt bei all dem allerdings die Frage, ob es eventuell möglich ist, mit einem selbst gebauten Device die 10.000 möglichen PIN-Kombinationen mal eben schnell durch zu probieren. Wir werden dem weiter nachgehen. (ju)

206 Kommentare

  1. Bruteforce-Angriff auf iOS-PIN auch mit aktiver Gerätelöschfunktion möglich

    iPhone 6 und iPhone 6 Plus

    Mit einer speziellen Hardware lässt sich der vierstellige Code knacken, auch wenn das Gerät eigentlich nur zehn Versuche zulassen sollte. Betroffen ist mindestens iOS 8.1.

  2. 31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    Sicherheitsforscher haben bekannte Attacken auf Bank- und Kreditkarten, die dem EMV-Standard folgen und auf Chips zum Manipulationsschutz setzen, zusammengefügt und so den "Panzer" um Transaktionen fast völlig ausgehebelt.

  3. "Rootpipe": Rechteausweitung für OS X 10.10 gibt Admin-Accounts direkt Root

    Ein Fehler, der offenbar mindestens in OS X 10.10 und 10.8.5 steckt, gibt lokalen Nutzern ohne Passworteingabe Super-User-Rechte. Was genau dahinter steckt, ist noch unklar.

  1. Kernel-Log – Was 3.8 bringt (3): Treiber

    Der Linux-Kernel bringt jetzt alles Nötige mit, um die 3D-Beschleunigung sämtlicher GeForce-Grafikchips zu verwenden. Neu dabei sind auch Treiber für einen Wireless-Gigabit-Chip und einen PCIe-WLAN-Chip von Realtek.

  2. Lieber kostenlos als schnell

    Während viele Online-Händler nach einem Weg suchen, ihren Versand zu beschleunigen, wäre den Kunden ein dauerhaft kostenloser Versand lieber.

  3. Keine Sicherheit, nirgends

    Jede neue Branche, die ins Internet der Dinge einsteigt, macht offenbar immer wieder die gleichen Anfängerfehler.

  1. Ein Allrounder?

    Mazda 6 2015

    Nach ziemlich genau zwei Jahren hat Mazda seinen Beitrag zur Mittelklasse renoviert. Herausgekommen ist kein komplett anderes Auto, sondern vielmehr ein im Detail stark verbessertes. Unser Autor konnte sich bereits einen ersten Eindruck vom überarbeiteten Mazda 6 verschaffen

  2. Zulassungszwerge: Zwischen Auslaufmodell und Luxusmobil

    Die Zulassungszahlen für Neufahrzeuge machen dem Autohandel wieder mehr Freude. 291.396 Bundesbürger ließen im April ein neues Auto zu. Wie seit Jahrzehnten steht der VW Golf an erster Stelle. Am Tabellenende stehen zehn Modelle, die im April maximal drei Neue auf die Straße brachten

  3. Neue Sprachfeatures im ECMAScript-6-Entwurf – Teil 1

    JavaScript war ursprünglich nicht für den Einsatz in großen Anwendungen gedacht, weshalb viele Umsteiger einige Lücken in der Sprachsyntax sehen. Das zuständige Standardisierungsgremium arbeitet daher an einer neuen Sprachvision, die unter anderem mehr Konzepte der objektorientierten Programmierung umsetzen soll.

  4. Kritische Lücke in etlichen Routern

    NetUSB-Lücke klafft in unzähligen Routern

    Durch einen verwundbaren Dienst können Angreifer beliebigen Code auf dem Router mit Kernel-Rechten ausführen. Die Anzahl der potenziell betroffenen Router-Hersteller ist immens.

Anzeige