News Mercedes-Benz: Quellcode war durch Token-Leak für jedermann abrufbar

[Flatsteff]

Die guten alten Zeiten, Autos ohne Computer mit online Fähigkeiten. Braucht keiner.

Handy mit Anlage koppeln um Musik zu hören oder das Navi zu verwenden, würde reichen. Sprich das Handy als Hotspot nutzen und fertig.

Interessante These... Aber was braucht man schon? Ich würde heute kein Auto mehr kaufen, was nach 3 Jahren komplett veraltet ist, weil nichts weiterentwickelt wird. Die einzigen die davon Profitieren, sind doch die Auto Hersteller, die dann ein paar Blechteile anders biegen, um einen grund zu haben, die neue Software dann als "Facelift" zu verkaufen

 

[nobody360]

was hat das mit dem thema zu tun?

War ein Scherz

 

[dermatu]

Quasi Open Source. Ist doch vorbildlich 😂

 

[ThePlayer]

Ich kann dich verstehen.
Wenn man nicht betroffen ist, wird es als negativ angesehen.
Man ändert seine Meinung, wenn das eigene Kind wegen eines Rasers stirbt. Wenn man ein Videobeweis mit einer Dashcam vorlegt und dann vom Raser deshalb angezeigt wird, fühlt man sich so richtig wie in 1984.

Man das liest sich ja wie: wegen den Kinderpornos sollten wir alle Internet und Smartphone User Total überwachen.
Ich fahre so ein ganz neues und Smartes Auto mit dem Blau-Weißen Logo vorne drauf. Und finde viele der Smarten Annehmlichkeiten ganz toll. Aber mach einen großen Bogen um die alles was ich aktive selbst abschalten kann was Datensammeln betrifft. Um einen Bogen zum Topic damit zu spannen ist. Wenn ich etwas die letzten 15 Jahre gelernt habe, dann das die Firmen und Behörden einfach zu dumm und zu schluderig sind um mit Daten und vor allem sensiblen Daten richtig um zu gehen. Noch schlimmer finde ich es wenn in einer AGB mit 20-30 Seiten sich irgendwo ein Passus versteckt das meine Daten auch noch monetaresiert werden. Selbst wenn man sich nur oberflächlich mit dem Thema Daten und Tracking befasst und was heutzutage alles über uns gesammelt und verkauft wird. Da kann einem Angst und Bange werden.
Und wieso sollte ich auf meine im Grundgesetz verbrieften rechte verzichten um eine Pseudosicherheit oder irgendwelche lächerlichen Annehmlichkeiten zu erhalten. Ich dachte die Leibeigenschaft haben wir hinter uns gelassen.

 

[MadCat[me]]

Unabhängig davon, welche Rechte dieses Token nun hatte oder wie die GitHub Enterprise-Instanz von Daimler nun abgesichert ist: GitHub hat via Push Protection eine Funktion für Secret Scanning, die bei einem Push von Commits nach typischen Tokens, API Keys, Secrets etc. sucht und den Push ablehnt, wenn sie etwas findet. Nun wird GitHub wohl problemlos die eigenen Tokens erkennen.

Muss man sich schon fragen, warum das nicht aktiv war. Soweit ich es rausfinden konnte, existiert Secret Scanning min. seit Oktober 2022.

 

[GokuSS4]

Und man macht sich lustig über die Rostlaube die ich Fahre, Bj 2007. Bringt mich von A nach B bei 5,6l/100km, kann die Birnen selber wechseln ohne die Front und Rückseite komplett demontieren zu müssen, kann Öl easy peasy selber wechseln. Reperaturen gehen schnell, da Ersatzteile aus ausgeschlachteten anderen Unfallwägen zu Hülle und Fülle verfügbar sind. Was will man mehr?

"Aber warum fährste so altes Schrottauto?"
"Hmm...warum wohl...."

Was will man mehr?

ein Auto ohne Rost

 

[Gorasuhl]

Der gute alte Schlüssel.

Zu meiner Lehrzeit wurde im Nachbarort bei einem Mercedes Partner eine AMG G-Klasse am hellichten Tag vom Hof geklaut.
Die haben keine 60 Sekunden gebraucht um das Fahrzeug zu öffnen und wegzufahren.
Versicherung hat sich quergestellt und meinte, dass das bei einem keyless Fahrzeug so schnell nicht möglich sei. Die Werkstatt muss irgendeinen einen Fehler gemacht und das Fahrzeug bspw. offen abgestellt haben.
Die Werkstatt hatte damals jemanden geholt, welcher dem Gutachter gezeigt hat, dass das wohl doch möglich ist, und die Versicherung hat dann zähneknirschend bezahlt.


Im Grunde nach ist es aber egal ob mit physischem Schlüssel oder Keyless unterwegs ist. Die einen hebeln die Mechanik auf/schlagen Scheiben ein um in die älteren Fahrzeuge einzubrechen, andere nutzen repeater um das Signal der neuen Schlüssel zu verlängern um aus der Ferne das Fahrzeug öffnen/starten zu können.
Manchmal reicht es schon, wenn das Fahrzeug dicht vor dem Haus parkt und der Schlüssel nicht weit genug vom Fahrzeug weg ist, dass das theoretisch von jedem geöffnet/gestartet werden kann.

Was gabs für nen Shitstorm gegen Tesla als ein Hardware-Hack öffentlich wurde…

Liegt mit an unseren Medien. Die bringen jede noch so kleine Meldung über nicht heimische Marken (egal ob Auto oder was anderes) und bei den heimischen wird der Ball meist Flach gehalten.
Zum Teil werden/wurden auch Rückrufaktionen ohne wirkliche Kommunikation mit dem Kunden einfach beim nächsten Werkstattaufenthalt durchgeführt.

 

[Schinken42]

Kubotan

Autokorrektur, nicht aufgepasst und zuviel Pokemon als Thema xD.

Ergänzung (29. Januar 2024)

(...)


Klar geht das wenn man entsprechendes Werkzeug dabei hat. Die meisten Autos werden heutzutage doch aber nicht mehr durch eingeschlagene Scheiben geklaut. Daher gehe ich davon aus, dass man so was als Autodieb nicht zwangsläufig immer im Gepäck hat.
Mein Kommentar richtete sich eher an die noch unübliche Situation, dass man als Dieb plötzlich im Auto eingeschlossen wird. Wenn das mal bei Autos Standard werden sollte, dann werden Diebe sicher passendes Werkzeug dabei haben. Aktuell denke ich aber, dass das nicht der Fall ist.
Mit bloßen Händen bekommt man die Scheibe dann von innen sicher nicht so einfach kaputt.

Die Hersteller bewerben die Karten aber mit dem "Feature". Autodiebe kennen die Modelle und lernen nicht wie Dick und Doof indem sie einfach mal Drauflosklauen.
Und ehrlich gesagt hat jeder dritte den ich kenne immer irgendein Werkzeug dabei, mit dem man sowas auf kriegen würde. Normalerweise auch insbesondere im Auto, um eben bei dem Unfall rauszukommen (das sind dann meistens so Kombiteile mit denen man den Gurt sicher aufschneiden kann und mit dem anderen Ende die Scheibe auf kriegt).

Ich hab noch nicht mal von den Problemen angefangen, die auftreten wenn so ein System mal ne Fehlfunktion hat und die Karre "by Design" ausbruchssicher sein soll.

 

[ThePlayer]

Wo die deutschen Autobauer früher noch Marktführer waren rennen sie der Konkurrenz, gerade bei E Mobility, ganz klar hinterher

Kannst du das bitte konkretisieren.
Auch wenn man oft das Gefühl hat das die Chinesen mit ihren E-Autos den deutschen das Wasser abgraben. Habe ich nach so einigen Reviews ein anderes Bild. Bleiben noch die Koreaner und Tesla. Tesla hat so seine Trümpfe bei Batterie und Effizienz aber der Rest ist Murks. Auch wenn Musk nicht müde wird das Märchen vom autonomen Tesla immer wieder zu erzählen. Nur so ein kleines Beispiel ist das automatische Parken. Da hat Tesla gegen Audi, Ford und noch einen weiteren Hersteller haushoch verkackt. Wenn die schon an sowas simplen scheitern wie soll es dann erst bei komplexeren Fahrmanövern sein.
Bei Kia und Hyundai ist auch nicht alles Gold was glänzt. Aber die sehe ich noch als größte Konkurrenz für die deutschen Autobauer. Und so sehr hinterher sind die deutschen auch nicht. Zumindest nicht mehr wie noch vor 3-4 Jahren.
BMW hat jetzt fast in allen Segmenten einen Stromer 3er, 5er, 7er, Mini, iX und iX1 und 3. Mercedes hat auch schon so einiges. Aber da ist das Problem wohl das neue Design der EQS und wie die nicht alle heißen.
Ich fahre selber den iX und bin bis auf die Segmentierung bei Akkugröße und Leistung sehr zufrieden mit dem Auto. Aber trotzdem habe ich großes Interesse an dem Kia EV9 die dritte Sitzreihe und ein paar andere Gimmicks wie die drehbaren Sitze finde ich sehr spannend. Eventuell schaue ich mir den Mal beim Händler an.

 

[Bccc1]

Also schöne Open-Source Software habe ich bisher noch nicht gesehen.

Ist leider auch selten, aber es gibt sie. MuseScore zB hat eine wie ich finde gelungene UI.

 

[Zhan]

.

 

[ichkriegediekri]

wow, China muss jetzt ja nicht Mal mehr hacken um an die Daten der Konkurrenz zu kommen, verrückt

 

[netzgestaltung]

Also schöne Open-Source Software habe ich bisher noch nicht gesehen.

ich schon, das ist reiner FUD. Danke.

 

[lorpel]

Was ist eigentlich aus all den Datendiebstählen geworden? Das klingt ja immer ganz schlimm, aber welche konkreten, nachgewiesenen Schäden sind entstanden?

Für Privatleute kann Identitätsdiebstahl konkret schlimme Folgen haben.
Aber in den Fällen von Firmen habe ich noch nie was dazu gehört.

 

[netzgestaltung]

Ein tolles Argument. Fast so toll wie, was ich nicht brauche, braucht keiner.

das ist aber eine verständliche reaktion. so leid mir das kind wegen dem raser tut. es wird nicht wieder lebendig wenn dafür dann ALLE überwacht werden.

 

[Carrera124]

Ich bin froh, dass zumindest mein bevorzugter Automobilhersteller es zumindest gegen Aufpreis noch ermöglicht, ein aktuelles Neufahrzeug noch ganz ohne COM-Modul zu bestellen.

Welcher Hersteller ist das?

Und wie erfüllt er die gesetzliche Anforderung, dass seit einigen Jahren alle Neufahrzeuge ein Notrufsystem haben müssen?

 

[M@tze]

Auch RedHunt Labs selbst hat den Fund in einem X-Beitrag bestätigt. „Die Entdeckung dieses Vorfalls glich der Suche nach einer Nadel im Heuhaufen“, heißt es dort. Dennoch hätten die Forscher die potenzielle Sicherheitsverletzung erfolgreich identifizieren und melden können.

Entdeckt wurde das Authentifizierungstoken im aktuellen Monat bei einem routinemäßigen Internet-Scan, den die Sicherheitsforscher durchgeführt hatten.

Kann mir jemand die Diskrepanz erklären oder missverstehe ich die Aussage bloss? Entweder wurde die Schwachstelle bei einem Routinescan gefunden oder es wurde danach gesucht wie "die Nadel im Heuhaufen"?!?

Wo die deutschen Autobauer früher noch Marktführer waren rennen sie der Konkurrenz, gerade bei E Mobility, ganz klar hinterher

Kannst du das bitte konkretisieren.
Auch wenn man oft das Gefühl hat das die Chinesen mit ihren E-Autos den deutschen das Wasser abgraben. Habe ich nach so einigen Reviews ein anderes Bild.

Wer wirklich der Meinung ist, dass die deutschen Autobauer hier bereits weit abgehängt sind (welchen Eindruck ich auch schon öfters hatte), dem empfehle ich dieses interessante Video:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Gerade bei den Motoren und deren Effizienz hinken die Chinesen teilweise noch sehr hinterher. Das wird oft nur mit abstrus großen Akkus von 100kWh aufwärts kaschiert.

 

[FrAGgi]

das ist reiner FUD

Aha. Hast mich ertappt.

 

[SIR_Thomas_TMC]

das ist aber eine verständliche reaktion. so leid mir das kind wegen dem raser tut. es wird nicht wieder lebendig wenn dafür dann ALLE überwacht werden.

Da ging es aber bei meinem Post gar nicht drum, um Überwachung oder das Beispiel mit dem Raser. Sondern darum, das ein "brauche ich persönlich nicht" kein gutes Argument für "dann braucht es keiner" ist.

 

[netzgestaltung]

Na schon weil "ich hätte es brauchen können also sollten alles es haben" in die gleiche Kerbe schlägt.