Softwarestand Version: Software Update Thread - Cupra Born Forum

  • Interessant, ich hätte da jetzt tatsächlich mehr erwartet, auch wenn ich die dort gelisteten Mediums trotzdem nicht gerade unbedenklich finde! Danke fürs Teilen! Weißt du ob die Seite auch CVEs enthält die aus open source Abhängigkeiten rausfallen? (Bzw sind diese überhaupt öffentlich bekannt?)


    Damit, dass ein Auto als Ziel weniger verlockend ist, würde ich trotzdem nicht mitgehen.

    Zum einen hat das Ding ja durchaus eine Art App Store (wenn auch mit nur einer richtigen App aktuell, bei mir zumindest, damit ist dein Punkt mit den Apps vermutlich tatsächlich ein Argument (noch), wobei die Schnittstelle (+ potentielle Probleme damit) ja in irgendeiner Form zumindest schon zu existieren scheint). Wie das mit den Treibern beim Auto läuft davon hab ich ehrlich gesagt zu wenig Ahnung, aber VW baut ja schon verschiedene Konfigurationen mit verschiedenen Steuergeräten etc, da hätte ich jetzt schon so etwas wie Treiber oder ein ähnliches Konzept dahinter erwartet🤔 Wobei man die Treiber hier ja nicht einfach als Endnutzer lustig einspielt, klar, sehe ich.

    Zum anderen ist der potentielle Schaden je nach Szenario ähnlich hoch oder höher (Diebstahl z.B.) und sicherheitskritischer (ich fliege selten mit 160 km/h auf meinem Handy über die Autobahn, und ja, ich weiß dass der Vergleich an vielen Fronten hinkt, aber er ist so schön bildlich)

    Durchschnittsverbrauch 17.1 kWh/100km bei im Schnitt 54 km/h (nach einem vollen Jahr)

  • Das Thema Sicherheitsupdates hatte ich hier vor Wochen schon mal angesprochen. Die hacken das System, wie auch immer und schalten alle VAG Autos mit einem schlag aus. Nur mal so alles Gedankenspiel…

    Cupra Born... what else 8) überzeugter ex Verbrenner fahrer 8o


    150 kW
    58 kWh
    Vapor Grey, 20" BLIZZARD Black/Copper, Privacy Glass, Below Zero Pack, Heat pump, Tech M Pack , Pilot L Pack, BeatsAudio
  • Dazu müsste der Angriff ja auf die Server-Infrastruktur erfolgen und nicht auf die Fahrzeuge. Wäre also völlig unabhängig von Patches der Autos. Und wenn VW nicht ganz blöde ist - und das traue ich nichtmal Cariad zu - wird ein böswilliges Update, selbst wenn man es auf die Server bekommt - nicht ausgeführt, wenn nicht zumindest die digitale Signatur passt, geschweige denn mögliche weitere Kontrollmechanismen.


    Also ja, die theoretische Möglichkeit besteht. Aber dieser Angriffsvektor ist erstmal unabhängig vom Softwarestand der Fahrzeuge (außer eine Version ist so buggy, dass sie ungeprüft Updates entgegennimmt und ausführt)

    Cupra Born 59kWh 170kW, Quasar Grey, 19" GJR auf Typhoon Black/Copper, Privacy Glass, BelowZero Pack, Cargo Pack, DCC, BeatsAudio, Tech M Pack, PilotXL Plus Pack - bestellt am 08.02.2024

  • Und wenn VW nicht ganz blöde ist - und das traue ich nichtmal Cariad zu -

    Die sind ja nicht mal in der Lage gutwillige Updates zu verteilen, geschweige denn böswillige. 😛😂

    Cupra Born 77kWh Vapor Grey |19‘ Leichtmetallräder PHOON Black/Silver CUPRA Dinamica Pack, Granite Grey | Charge 32A | AR Head-up-Display | Dynamic Chassis Control | BeatsAudioTM Soundsystem | Pilot XL Plus Pack | Wärmepumpe | Bestellt: 20.12.22 |Ausgeliefert: 25.04.23

    Wallbox: Alfen Eve Single-line 11kW | E.ON charge@home

  • Dazu müsste der Angriff ja auf die Server-Infrastruktur erfolgen und nicht auf die Fahrzeuge. Wäre also völlig unabhängig von Patches der Autos. Und wenn VW nicht ganz blöde ist - und das traue ich nichtmal Cariad zu - wird ein böswilliges Update, selbst wenn man es auf die Server bekommt - nicht ausgeführt, wenn nicht zumindest die digitale Signatur passt, geschweige denn mögliche weitere Kontrollmechanismen.


    Also ja, die theoretische Möglichkeit besteht. Aber dieser Angriffsvektor ist erstmal unabhängig vom Softwarestand der Fahrzeuge (außer eine Version ist so buggy, dass sie ungeprüft Updates entgegennimmt und ausführt)

    War ja nur ein Gedankespiel🙃 das sowas im Normalfall nicht passiert sollte die Sec von VAG schon im Griff haben… aber halt… stand nicht vor nicht all zu langer Zeit die Produktion still wegen eines Hackerangriffes🤔😂 wird schon alles gut gehen🤓🙃🤪😂

    Cupra Born... what else 8) überzeugter ex Verbrenner fahrer 8o


    150 kW
    58 kWh
    Vapor Grey, 20" BLIZZARD Black/Copper, Privacy Glass, Below Zero Pack, Heat pump, Tech M Pack , Pilot L Pack, BeatsAudio
  • Dazu müsste der Angriff ja auf die Server-Infrastruktur erfolgen und nicht auf die Fahrzeuge.

    Es ist zwar richtig, dass der Angriffsvektor erheblich reduziert ist, wenn die Autos keinen offenen Port haben und immer nur von sich aus eine Verbindung aufbauen, aber er ist nicht Null und man könnte mit gefälschten Rückantworten durchaus etwas bewirken (ggf. über eine Mobilfunk-Mikrozelle).

    Egal wie man das Risiko auch bewertet, es wäre beruhigender, wenn es einen funktionierenden, etablierten OTA-Updateprozess geben würde. Aber genau das ist nicht der Fall. Daher spielt da VW durchaus mit dem Feuer.

    Viele Grüße, Stephen

    Ein Pfälzer in Bayern


    Cupra Born 58kWh EZ 12/22

  • War ja nur ein Gedankespiel🙃 das sowas im Normalfall nicht passiert sollte die Sec von VAG schon im Griff haben… aber halt… stand nicht vor nicht all zu langer Zeit die Produktion still wegen eines Hackerangriffes🤔😂 wird schon alles gut gehen🤓🙃🤪😂

    Ich erinnere an den 16. August 2023, an dem die damals eingesetzten LetsEncrypt-Zertifikate der Server ausgelaufen sind und für fast zwei Tage nicht erneuert wurden.

    IMG_5829.png


    So viel zum Thema "alles im Griff".


    Mittlerweile werden immerhin Zertifikate anderer Aussteller eingesetzt.

  • Ja, das mit den Zertifikaten ist schon peinlich, passiert leider in der IT-Welt viel zu oft :(


    Aber von dem Punkt abgesehen - ob jemand nun einmal im Jahr Updates ausrollt, oder wöchentlich, ob die Updates problemlos durchlaufen oder wegen unterschiedlicher Steuergeräte rumzicken - das hat mit der Sicherheit des implementierten Updatemechanismus ja nichts zu tun. Leider können wir als Außenstehende nur beurteilen ob der was taugt, bzw. eben nichts taugt, wenn es zu einem sicherheitsrelevanten Vorfall kommt ...

    Cupra Born 59kWh 170kW, Quasar Grey, 19" GJR auf Typhoon Black/Copper, Privacy Glass, BelowZero Pack, Cargo Pack, DCC, BeatsAudio, Tech M Pack, PilotXL Plus Pack - bestellt am 08.02.2024

  • wenn es zu einem sicherheitsrelevanten Vorfall kommt ...

    Dann is es aber schon zu spät ^^


    Leider weiß halt keiner was, wie, wo und warum upgedatet wird --> z.B. Future1 :/ . Es gibt einem schon eine gewisse Sicherheit wenn es regelmässige updates gibt/gäbe... Beim PC und Handi schaffen die Hersteller es ja auch. Etwas mehr Kundensicherheit könnte man sich doch wünschen. Aktuell muss man scheinbar davon ausgehen das die Landschaft quasi sicher wie Fort Knox ist. Vieleicht habe ich als Computerfuzzi einfach zu hohe Erwartungen weils in der IT halt anders läuft als bei VAG. Updates gibts nicht nur zum Spaß und wegen neuen Emojis.... Aber wie geschrieben --> VAG = Fort Knox

    Cupra Born... what else 8) überzeugter ex Verbrenner fahrer 8o


    150 kW
    58 kWh
    Vapor Grey, 20" BLIZZARD Black/Copper, Privacy Glass, Below Zero Pack, Heat pump, Tech M Pack , Pilot L Pack, BeatsAudio
  • Allein schon das Thema Accountsicherheit. Keine 2FA möglich und die Passwortkriterien sind lächerlich. Ich habe es gerade mal getestet. Ich hätte mir „Passwort1“ vergeben können. Und so können Accounts einfach gehackt werden, denn viele Benutzer haben es nicht so mit sicheren Passwörtern. Der Schutz von persönlichen Daten wird völlig überbewertet. Und starke Passwörter auch. Mich würde nicht wundern wenn sie die Passwörter unverschlüsselt in der Datenbank ablegen. Wäre nicht das erste Mal das sowas passiert. 🙄

    Cupra Born 77kWh Vapor Grey |19‘ Leichtmetallräder PHOON Black/Silver CUPRA Dinamica Pack, Granite Grey | Charge 32A | AR Head-up-Display | Dynamic Chassis Control | BeatsAudioTM Soundsystem | Pilot XL Plus Pack | Wärmepumpe | Bestellt: 20.12.22 |Ausgeliefert: 25.04.23

    Wallbox: Alfen Eve Single-line 11kW | E.ON charge@home