Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jürgen Schmidt 206

Die Mär von Ducatis unsicherer PIN

Bis zu einem Eintrag in die Open Source Vulnerability Database hat es die Geschichte vom "Ducati Diavel Motorcycle Default Ignition Password" gebracht, die seit einigen Monaten die Runde macht. Demnach ließe sich die vierstellige PIN, mit der man das Bike auch ohne Schlüssel starten kann, direkt aus der leicht zu ermittelnden Fahrzeugnummer ableiten; das geflügelte Wort vom "Drive-away-Exploit" machte die Runde. Dumm nur, dass es nicht stimmt.

Fakt ist, dass Ducatis Diavel und auch bereits die Multistrada eine PIN-Eingabemöglichkeit haben, mit der man nicht nur den Zündschlüssel ersetzen, sondern auch die Wegfahrsperre überbrücken kann. Der Rest beruht auf Gerüchten. So bestätigte Ralf Müller vom Ducati-Tuner und -Händler BeFaster gegenüber heise Security, dass die Neufahrzeuge vom Werk ohne PIN beim Händler angeliefert werden. Dessen Aufgabe ist es dann, die vierstellige PIN zu setzen und bei der Fahrzeugübergabe dem Kunden zu erklären, dass und wie er diese PIN ändern sollte. Ein üblicher Tipp ist es, die der EC-Karte zu nehmen, da man diese sicher nicht vergisst.

Eigentlich hat Ducati hier alles richtig gemacht; viel besser kann man ein derartiges Sicherheitskonzept eigentlich nicht umsetzen.Trotzdem kam es zu diesem Bericht über ein eklatantes Sicherheitsproblem. Paul Ducklin vermutet im Blog von Sophos, dass er auf einem Fall beruhen könnte, bei dem ein Händler tatsächlich die letzten vier Stellen der Fahrzeugnummer als PIN seiner Leihmaschine verwendet hat. Dies sei einem Blogger aufgefallen, der daraus eine lustige Geschichte machte, die sich dann rasant verbreitete.

Unberücksichtigt bleibt bei all dem allerdings die Frage, ob es eventuell möglich ist, mit einem selbst gebauten Device die 10.000 möglichen PIN-Kombinationen mal eben schnell durch zu probieren. Wir werden dem weiter nachgehen. (ju)

206 Kommentare

Anzeige
  1. Was war. Was wird. Vom vorausschauenden Rechnen und anregenden Lernen

    Was war. Was wird. Vom vorausschauenden Rechnen und anregenden Lernen

    Die sonntägliche Wochenschau ist nicht rechtsverbindlich, das weiß Hal Faber, die Distanz will er trotzdem nicht wahren und betrachtet, was Schüler mit "dem Internet" lernen könnten, was der BND so damit tut und wann das Anthropozän vielleicht begann.

  2. WhatsApp: Bug erlaubt Einblick in verschlüsselte Nachrichten

    WhatsApp: Bug erlaubt Einblick in verschlüsselte Nachrichten

    Seit einem Jahr werden Nachrichten auf WhatsApp Ende-zu-Ende verschlüsselt, wodurch nicht einmal der Betreiber sie lesen kann. Durch eine Besonderheit bei der Implementierung kann das aber wohl umgangen werden, was Sicherheitsbehörden ausnutzen könnten.

  3. Google übernimmt die Macher von Job Simulator

    Google übernimmt die Macher von Job Simulator

    Mit dem VR-Entwicklerstudio Owlchemy Labs hat Google ein weiteres Start-up übernommen. Von der Übernahme erhofft man sich neue Impulse für virtuelle Realitäten und Interaktionsmodelle.

  4. Welt-Foto-Tag: Die Top-Bilder aus der c't Fotografie Galerie

    Tag der Fotografie: Die Top-Bilder aus der c't Fotografie Galerie

    Rund 25.000 Bilder wurden in den vergangenen zwölf Monaten in der c't Fotografie Galerie hochgeladen. Zum Welt-Foto-Tag am 19. August zeigen wir die 50 am besten bewerteten Aufnahmen und geben einen Rücklick auf die Geschichte der Fotografie.

  1. Zu Land, zu Wasser und in der Luft

    Schlafen in van Goghs Zimmer, auf einer Jacht dahinschippern oder bei Privatpiloten einsteigen – die Sharing Economy eröffnet spannende Möglichkeiten, seine freien Tage zu verbringen.

  2. Ducati Modelle 2016

    Zweirad

    Ducati hat auf der EICMA nicht weniger als elf neue Modelle präsentiert. Auch wenn es eigentlich bereits bekannte Bikes mit neuen Motoren oder neuen Komponenten sind, ist trotzdem sehenswert, was die Italiener da alles für ihre Marktoffensive auf die Räder gestellt haben

  3. Die Neuerungen von Linux 4.9

    Linux-Kernel 4.9

    Das XFS-Dateisystem kann jetzt doppelt gespeicherte Daten zusammenführen und große Dateien in Sekundenbruchteilen kopieren. Linux 4.9 verbessert zudem die Sicherheit. Neue Möglichkeiten zur Performance-Analyse erleichtern System- und Programmoptimierung.

  1. Missing Link: Facebook weiß es nicht besser

    Open Compute Project: OCP-Server bei Facebook in Lulea

    Während die deutschen Wähler hoffentlich zahlreich zu den Wahllokalen gehen, muss sich Facebook inzwischen in der Heimat USA harten Fragen stellen. Wie weit hat der Konzern zum Wahlsieg Donald Trumps beigetragen?

  2. Vertuschung 2.0: Im Fall Amri erlebt man dieselben Methoden wie beim NSU-Skandal

    Der Untersuchungsausschuss in Berlin ist mit massiven Widerständen seitens der Polizei konfrontiert

  3. c't uplink 18.9: Das Auto von morgen, Hybridradios, Vorsicht Kunde!

    c't uplink 18.8: Galaxy Note 8, Windows härten, Tuxedo Linux-Notebook

    Heute in c't uplink diskutieren wir über die Zukunft des Autos. Wir haben Hybridradios mit FM, DAB+ und Internet getestet, und Georg Schnurer zeigt uns einen besonders ekligen Fall von "Vorsicht, Kunde!".

  4. Proteste in London gegen Rausschmiss von Uber

    Bestätigungsdialog "Delete Uber?"

    In London regt sich massiver Protest gegen die Schließung des Fahrdienstes. Mehrere Hunderttausend haben bereits eine Pro-Uber-Petition unterzeichnet.

Anzeige