Logo von heise online

Suche
Jürgen Schmidt 206

Die Mär von Ducatis unsicherer PIN

Bis zu einem Eintrag in die Open Source Vulnerability Database hat es die Geschichte vom "Ducati Diavel Motorcycle Default Ignition Password" gebracht, die seit einigen Monaten die Runde macht. Demnach ließe sich die vierstellige PIN, mit der man das Bike auch ohne Schlüssel starten kann, direkt aus der leicht zu ermittelnden Fahrzeugnummer ableiten; das geflügelte Wort vom "Drive-away-Exploit" machte die Runde. Dumm nur, dass es nicht stimmt.

Anzeige

Fakt ist, dass Ducatis Diavel und auch bereits die Multistrada eine PIN-Eingabemöglichkeit haben, mit der man nicht nur den Zündschlüssel ersetzen, sondern auch die Wegfahrsperre überbrücken kann. Der Rest beruht auf Gerüchten. So bestätigte Ralf Müller vom Ducati-Tuner und -Händler BeFaster gegenüber heise Security, dass die Neufahrzeuge vom Werk ohne PIN beim Händler angeliefert werden. Dessen Aufgabe ist es dann, die vierstellige PIN zu setzen und bei der Fahrzeugübergabe dem Kunden zu erklären, dass und wie er diese PIN ändern sollte. Ein üblicher Tipp ist es, die der EC-Karte zu nehmen, da man diese sicher nicht vergisst.

Eigentlich hat Ducati hier alles richtig gemacht; viel besser kann man ein derartiges Sicherheitskonzept eigentlich nicht umsetzen.Trotzdem kam es zu diesem Bericht über ein eklatantes Sicherheitsproblem. Paul Ducklin vermutet im Blog von Sophos, dass er auf einem Fall beruhen könnte, bei dem ein Händler tatsächlich die letzten vier Stellen der Fahrzeugnummer als PIN seiner Leihmaschine verwendet hat. Dies sei einem Blogger aufgefallen, der daraus eine lustige Geschichte machte, die sich dann rasant verbreitete.

Unberücksichtigt bleibt bei all dem allerdings die Frage, ob es eventuell möglich ist, mit einem selbst gebauten Device die 10.000 möglichen PIN-Kombinationen mal eben schnell durch zu probieren. Wir werden dem weiter nachgehen. (ju)

206 Kommentare

  1. 31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    31C3: Kredit- und Bankkarten mit Chip "total unsicher"

    Sicherheitsforscher haben bekannte Attacken auf Bank- und Kreditkarten, die dem EMV-Standard folgen und auf Chips zum Manipulationsschutz setzen, zusammengefügt und so den "Panzer" um Transaktionen fast völlig ausgehebelt.

  2. Bruteforce-Angriff auf iOS-PIN auch mit aktiver Gerätelöschfunktion möglich

    iPhone 6 und iPhone 6 Plus

    Mit einer speziellen Hardware lässt sich der vierstellige Code knacken, auch wenn das Gerät eigentlich nur zehn Versuche zulassen sollte. Betroffen ist mindestens iOS 8.1.

  3. "Rootpipe": Rechteausweitung für OS X 10.10 gibt Admin-Accounts direkt Root

    Ein Fehler, der offenbar mindestens in OS X 10.10 und 10.8.5 steckt, gibt lokalen Nutzern ohne Passworteingabe Super-User-Rechte. Was genau dahinter steckt, ist noch unklar.

  1. Kernel-Log – Was 3.8 bringt (3): Treiber

    Der Linux-Kernel bringt jetzt alles Nötige mit, um die 3D-Beschleunigung sämtlicher GeForce-Grafikchips zu verwenden. Neu dabei sind auch Treiber für einen Wireless-Gigabit-Chip und einen PCIe-WLAN-Chip von Realtek.

  2. Lieber kostenlos als schnell

    Während viele Online-Händler nach einem Weg suchen, ihren Versand zu beschleunigen, wäre den Kunden ein dauerhaft kostenloser Versand lieber.

  3. Keine Sicherheit, nirgends

    Jede neue Branche, die ins Internet der Dinge einsteigt, macht offenbar immer wieder die gleichen Anfängerfehler.

  1. Scheinangriff

    Citroen DS4

    Citroën überarbeitet den DS4 und erweitert die Reihe um ein "abenteuerlustiges" Modell. Die Veränderungen tun dem Wagen nach fünf Jahren gut, und doch wird er das bleiben, was er zuvor schon war: eine interessante Alternative, die nur wenige Käufer auf ihrem Zettel haben

  2. Android: Mehr Smartphones mit vorinstallierter Malware

    Android Malware

    Zwischenhändler sollen immer mehr Modelle aus dem Android-Lager vor dem Verkauf manipulieren, indem sie beliebte Apps mit Malware-Komponenten ausstatten und auf den Geräten installieren.

  3. The Swarm: Manntragender Multikopter mit 54 Rotoren

    The Swarm: Manntragender Multikopter mit 54 Rotoren

    Wer die Motoren und Rotoren von neun Hexakoptern kombiniert, bringt mit Hobbytechnik sogar Leute in die Luft. Eine Konstruktion aus Großbritannien tritt auf YouTube den Beweis an.

  4. African Queen 2

    Honda, Zweirad

    Der Honda Africa Twin eilt ein legendärer Ruf voraus. Sie wurde konzipiert, um auch abseits befestigter Wege lange Distanzen halbwegs komfortabel überbrücken zu können. Zwischen 1988 und 2004 hatte sie einen treuen Fankreis. Nun kommt endlich eine Neuauflage

Anzeige