Zu früh gekauft...

  • Wieso stelle ich hier jetzt die Möglichkeit eines Updates in Abrede?
    Ich sage nur:
    Wenn es jetzt keine bekannten Sicherheitslücken gibt, brauchen wir dann ein Update?
    Um des Updates willen?

    Updates, nur damit wir welche haben?


    Vielleicht sind VW ja Sicherheitlücken bekannt und sie arbeiten an der Behebung.

    Keiner von uns weiß das.


    Und ich muss noch mal fragen: Kürzt du mein Zitat absichtlich oder hast du mich nur nicht verstanden?
    Mein "nicht bekannt" bezog sich nicht auf die Hackereinbrüche sondern auf Sicherheitsprobleme, die zu Hackereinbrüchen führen können.


    Dir ist sicher bekannt, was jede Schadsoftware, die etwas auf sich hält, als erstes macht?
    Verhindern, dass sie entfernt wird.

    Also: Es wird verhindert werden, dass du OTA ein Update bekommst.

    Oder sogar erreicht, dass du dir ein Update von einem Server in Belarus ziehst.


    Also: Wenn VW Sicherheitslücken in ihrer Software bekannt sind, werden sie Updaten.

    Es bleibt mir, wie bei jedem updatefähigen Gerät, nur übrig, darauf zu vertrauen.


    Mein Vertrauen ist da nicht abhängig davon, dass ich jeden Monat ein neues Update bekomme.


    Ich kann mich nur nicht der Meinung anschließen "Ein System, das nicht jeden Monat ein Update bekommt, ist ein schlechtes System".

  • Wieso stelle ich hier jetzt die Möglichkeit eines Updates in Abrede?
    Ich sage nur:
    Wenn es jetzt keine bekannten Sicherheitslücken gibt, brauchen wir dann ein Update?
    Um des Updates willen?

    Updates, nur damit wir welche haben?

    Ok, anderes gefragt. Wie komme ich an ein Sicherheitsupdate wenn heute eine Sicherheitslücke erkannt wird und im schlimmsten Fall schon einige Fahrzeuge mit Schadsoftware infiziert sind?


    Vielleicht sind VW ja Sicherheitlücken bekannt und sie arbeiten an der Behebung.

    Keiner von uns weiß das.

    Und wie lange soll das dauern bis die Lücke geschlossen ist und an alle Fahrzeuge verteilt werden wenn alle Fahrzeuge, die mutmaßlich nicht mindestens 3.2.1 in der Werkstatt installiert bekommen haben, wenn sie zufällig davon Kenntnis haben, dass es eine solche Maßnahme gibt und die Werkstatt so gnädig war das Update aufgespielt hat damit das Auto vermutlich OTA fahrig ist? Nach dem Prinzip Hoffnung dass diese Lücke monatelang oder gar jahrelang nicht ausgenutzt wurde bis alle Borns mal die Möglichkeit haben OTA Updates zu empfangen.


    Das ist das Prinzip: ich halte mir die Augen zu dann sehen mich die andern nicht.


    Und ich muss noch mal fragen: Kürzt du mein Zitat absichtlich oder hast du mich nur nicht verstanden?

    Mein "nicht bekannt" bezog sich nicht auf die Hackereinbrüche sondern auf Sicherheitsprobleme, die zu Hackereinbrüchen führen können.

    System".

    Weißt Du ob sie VW bekannt sind? Ich weiß es nicht. Und selbst wenn sie ihnen bekannt sind werden sie es nicht an die große Glocke hängen. Und erst recht nicht solange sie nicht in der Lage sind die Lücken schnell zu schließen und die Updates an alle zu verteilen.


    Dir ist sicher bekannt, was jede Schadsoftware, die etwas auf sich hält, als erstes macht?

    Verhindern, dass sie entfernt wird.

    Also: Es wird verhindert werden, dass du OTA ein Update bekommst.

    Oder sogar erreicht, dass du dir ein Update von einem Server in Belarus ziehst.

    Und indem ein großer Teil der Fahrzeuge nicht mal in der Lage ist überhaupt Updates außerhalb der Werkstatt zu bekommen wird das verhindert?

    Also: Wenn VW Sicherheitslücken in ihrer Software bekannt sind, werden sie Updaten.

    Es bleibt mir, wie bei jedem updatefähigen Gerät, nur übrig, darauf zu vertrauen.

    Und wie? Wollen sie alle betroffenen Nutzer per Post anschreiben und hoffen dass im Herbst 2025 dann alle ihre Updates in der Werkstatt aufgespielt bekommen haben?


    Vertrauen würde ich darauf nicht nur hoffen und bangen dass nichts passiert.


    Mein Vertrauen ist da nicht abhängig davon, dass ich jeden Monat ein neues Update bekomme.


    Ich kann mich nur nicht der Meinung anschließen "Ein System, das nicht jeden Monat ein Update bekommt, ist ein schlechtes System".

    Meins auch nicht. Aber davon ob ich die Möglichkeit habe im Falle eines Falles schnell ein Update zu bekommen bzw. die Möglichkeit überhaupt ein Update zu bekommen. Es ist richtig das nicht die Quantität zählt. Aber die geeignete schnelle Maßnahme zur richtigen Zeit ist es die zählt. Ohne schnelle Möglichkeit keine Gegenmaßnahmen.

    Cupra Born 77kWh Vapor Grey |19‘ Leichtmetallräder PHOON Black/Silver CUPRA Dinamica Pack, Granite Grey | Charge 32A | AR Head-up-Display | Dynamic Chassis Control | BeatsAudioTM Soundsystem | Pilot XL Plus Pack | Wärmepumpe | Bestellt: 20.12.22 |Ausgeliefert: 25.04.23

    Wallbox: Alfen Eve Single-line 11kW | E.ON charge@home

  • WENN es eine kritische Sicherheitslücke gibt, sehe ich diese Möglichkeiten:
    Rückrufaktion - Das passiert bei anderen Sicherheitsmängeln auch.
    Oder vielleicht ein Patch - siehe weiter unten.

    Wenn es eine Möglichkeit gibt, zu erkennen, ob das Fahrzeug befallen ist, diese bekannt geben


    Anders gefragt: Wie meinst du, könnte ein Hacker Sicherheitsmängel ausnutzen?
    Über ein gefaktes OTA etwa? Da beißt sich was in den Schwanz in deiner Argumentation...

    Und: OTA-Updates sind schon möglich, auch mit Software <3.2.1

    Habe selbst mal eins bekommen.

    Das war dann mal ein "Patch".


    Wie behebt man gewöhnlich Sicherheitslücken?
    Mit einem Patch vielleicht?


    Ich kann aber natürlich nicht sagen, ob in der Born-Software das Einspielen eins Patches zu Behebung von Sicherheitslücken OTA möglich ist.

    Es unterscheidet sich aber eindeutig von der Möglichkeit eines Systemupdates per OTA.


    Also: Du weißt so wenig wie wir anderen, ob Sicherheitslücken bekannt sind.

    Du weißt so wenig wie wir anderen, ob die nicht auch schon so behebbar wären per OTA.


    Wenn du unbedingt eine höhere Version willst:
    Geh doch zum Autohaus und frage, ob sie die die höchstmögliche Version einspielen.


    Du kannst dich natürlich auf den Standpunkt stellen: Cupra/VW hat mir OTA-Updates versprochen, also will ich sie haben.

    Das kann ich nachvollziehen und das ist absolut nachvollziehbar. Braucht man dann aber nicht jeden Tag zu erwähnen.


    Deine Argumentation "..wir brauchen OTA-Updates aus Sicherheitsgründen.." ist irgendwie zu dünn.

    Ist mit "..wenn keine Sicherheitslücken bekannt, dann brauche ich dafür kein Update..." irgendwie leicht auszuhebeln.


    Und das Patches nicht eingspielt werden können, wenn es nötig ist um Sicherheitslücken zu schließen, ist nur eine Mutmaßung.

  • WENN es eine kritische Sicherheitslücke gibt, sehe ich diese Möglichkeiten:
    Rückrufaktion - Das passiert bei anderen Sicherheitsmängeln auch.

    Ja das passiert bei Mängeln welche die Fahrsicherheit betreffen. Aber ist eine Schadsoftware die z.B. nur das Navi oder das Entertainment lahmlegt ein Sicherheitsmangel welche eine Rückrufaktion rechtfertigt? Ich höre die Herrschaften vom KBA aus Flensburg Mürwick bis hierher lachen wenn so eine Anfrage kommt.


    Anders gefragt: Wie meinst du, könnte ein Hacker Sicherheitsmängel ausnutzen?

    Oh da gibt es viele Möglichkeiten. Durch ein befallenes externes Gerät aka. Smartphone oder einen USB Stick oder eine API. Möglichkeiten gibt es unendlich viele. Und abhängig davon wie die Software programmiert wurde, die angegriffen wird kann da durch mehr oder weniger Schaden angerichtet werden.


    Und: OTA-Updates sind schon möglich, auch mit Software <3.2.1

    Habe selbst mal eins bekommen.

    Das war dann mal ein "Patch".

    Ja, habe ich bei der ersten Fahrt auch bekommen. Es waren irgendwelche initialen Einstellungsdaten. Was man so Patch nennt. Neue Senderlogs kann man auch großspurig Patch bezeichnen. Macht ordentlich was her.

    Wie behebt man gewöhnlich Sicherheitslücken?

    Mit einem Patch vielleicht?

    Ja genau. Und man informiert darüber dass es ein Sicherheitsupdate gab weil das vielleicht Vertrauen schafft. Was tatsächlich dahinter steckt kann ein Außenstehender natürlich nicht überprüfen. Aber nichts zu machen und nichts zu dokumentieren und zu kommunizieren während die ganze Welt immer mehr mit Cyberattacken konfrontiert wird, schafft nicht gerade Vertrauen.

    Wenn du unbedingt eine höhere Version willst:
    Geh doch zum Autohaus und frage, ob sie die die höchstmögliche Version einspielen.


    Versionen schneller und stabiler als die niedrigeren. Was soll also die Werkstatt machen

    Ach komm das weißt Du selber dass es keine Freigabe bzw. keinen Prozess dafür gibt denen in der Werkstatt 3.6 oder höher aufzuspielen, bei denen nur 3.2 installiert ist. Laut Aussagen von Nutzern laufen die höheren 3er Versionen flüssiger und stabiler. Es geht mir nicht um eine höhere Version es geht mir um die Behebung von Softwarefehlern, Performance und Stabilitätsverbesserungen. Und da bei Versionsupdates typischerweise auch Sicherheitslücken geschlossen werden würde ich die gerne mitnehmen. Geht aber nicht weil ich keine neue Software bekomme.

    Und dass die Möglichkeit zu Patchen keine ultimative Sicherheit bietet ist mir auch klar. Keine Möglichkeit Patches zu bekommen aber auch nicht.


    Ist mit "..wenn keine Sicherheitslücken bekannt, dann brauche ich dafür kein Update..." irgendwie leicht auszuhebeln.

    Was ist denn daran dünn? Ich bekomme häufig Patches die Sicherheitslücken schließen auf meinen Mac und meine iOS Geräte. Glaubst Du die machen das aus Spaß. Natürlich ist das kein Garant dass nichts passiert, weil es immer ein Wettlauf darum ist wer schneller ist. Und es gibt es weltweit mehr Macs und iPhones und diese bieten mehr Angriffsfläche für Hacker als die paar Borns. Aber das ist doch kein Grund zu sagen „alles paletti so wie es läuft, es wird schon nichts passieret weil es ist ja bisher auch nichts passiert“.


    ist vielleicht eine Berufskrankheit bei mir weil ich in der Entwicklung cloudbasierter Software arbeite. Wenn ich sehe dass eine Vielzahl von Clients (Borns) mit dauerhaft mit der VW Cloud (unzuverlässige und langsame VW Server) verbunden sind und die Möglichkeit die Clients (Borns) auf dem neusten Stand zu halten so begrenzt sind, kommt mir das kalte Grausen. Ich persönlich habe null Vertrauen in die Softwarekompetenz von VW. Für mich ist das eine Softwarebastelbude.


    Lassen wir es an dieser Stelle gut sein, wir kommen nicht auf einen Nenner. Müssen wir ja auch nicht.

    Cupra Born 77kWh Vapor Grey |19‘ Leichtmetallräder PHOON Black/Silver CUPRA Dinamica Pack, Granite Grey | Charge 32A | AR Head-up-Display | Dynamic Chassis Control | BeatsAudioTM Soundsystem | Pilot XL Plus Pack | Wärmepumpe | Bestellt: 20.12.22 |Ausgeliefert: 25.04.23

    Wallbox: Alfen Eve Single-line 11kW | E.ON charge@home

  • Das man sich ständig als Experte ausweisen muss..... Schon komisch... Macht das ganze nicht besser.


    Ein iOS mit einem Born System zu vergleichen zeigt schon das hier alle Vergleiche hinken. Erläutern muss man das hoffentlich nicht


    Dazu kommt daß die ganzen Systeme schon ewig am Netz hängen die z.B. Livedaten für das Navigationssystem erhalten. Offensichtlich könnte man bisher alles verhindern oder war sicher genug das man nicht eingreifen muss. Interesse hat da sicher jemand dran.

  • Interesse hat da sicher jemand dran.

    Sagt wer?

    Cupra Born 77kWh Vapor Grey |19‘ Leichtmetallräder PHOON Black/Silver CUPRA Dinamica Pack, Granite Grey | Charge 32A | AR Head-up-Display | Dynamic Chassis Control | BeatsAudioTM Soundsystem | Pilot XL Plus Pack | Wärmepumpe | Bestellt: 20.12.22 |Ausgeliefert: 25.04.23

    Wallbox: Alfen Eve Single-line 11kW | E.ON charge@home

  • Das man sich ständig als Experte ausweisen muss..... Schon komisch... Macht das ganze nicht besser.


    Ein iOS mit einem Born System zu vergleichen zeigt schon das hier alle Vergleiche hinken. Erläutern muss man das hoffentlich nicht


    Dazu kommt daß die ganzen Systeme schon ewig am Netz hängen die z.B. Livedaten für das Navigationssystem erhalten. Offensichtlich könnte man bisher alles verhindern oder war sicher genug das man nicht eingreifen muss. Interesse hat da sicher jemand dran.

    Na ich z.B. gerade eben, schau!

  • Na ich z.B. gerade eben, schau!

    Du behauptest man konnte alles verhindern? Woher weißt Du dass es bisher jemand probiert hat und sie (wer auch immer…) es (was auch immer…. wie verhindern konnten?

    Und woher weißt Du dass es nicht morgen jemand auf andere Art probiert und es wer auch immer es wie auch immer verhindert? Das muss so sein weil wir uns im unverwundbaren Ökosystem von Volkswagen bewegen?


    Danke, Ich werde Dein fundiertes Security Bulletin an Vladimirs Schergen weitergeben damit die vor Frust sämtliche Aktivitäten einstellen 😂

    Cupra Born 77kWh Vapor Grey |19‘ Leichtmetallräder PHOON Black/Silver CUPRA Dinamica Pack, Granite Grey | Charge 32A | AR Head-up-Display | Dynamic Chassis Control | BeatsAudioTM Soundsystem | Pilot XL Plus Pack | Wärmepumpe | Bestellt: 20.12.22 |Ausgeliefert: 25.04.23

    Wallbox: Alfen Eve Single-line 11kW | E.ON charge@home

  • Es ist schon lustig, wie hier "Experten" über Online-Anbindungen von Fahrzeugen urteilten, schwere Sicherheitslücken erwarten und keinerlei Vertrauen in Softwarekompenz haben, aber gleichzeitig ihr Leben dieser in-kompetenten Software anvertrauen, wenn sie sich ins Auto setzen und losfahren :D


    Offentsichlich kennt man die Anforderungen an online-angebundene Fahrzeuge nicht?!

    Denn im Gegensatz zu einem gehacktem Handy oder PC kann ein gehacktes Fahrzeug im Extremfall zum Personenschaden mit Todesfolge führen =O


    Dass ist keinem OEM neu und daher schützt er schon lange die seine Fahrzeuge vor unautorsierten off- und online Zugriffen.

    Es ist inzwischen sogar eine UNECE-Anforderung und muss entsprechend nachgewiesen werden, damit ein Fahrzeug eine Homologation erhält.


    Und ja, es gab auch schon Lücken in der MEB, die entsprechend (in der Vergangenheit) über entsprechende Software-Updates geschlossen wurden.


    Sowie dies wieder notwendig ist, wird es passieren.

    Keine Sorge.. wie in der Vergangenheit auch schon.

    performance based on engineering..


    elektrifizierter Petrolheat 8o und Born-Besitzer :thumbup:

    Einmal editiert, zuletzt von Jochen_145 ()