WeConnect ID.APP - DISKUSSIONEN - FRAGEN - PROBLEME

    ich sehe da auch kein großes Thema. Im schlimmsten Fall könnte jemand die Klimatisierung einschalten.. Bitte soll er
    Aber schon das wird bei meinem Auto kaum zum Problem, es ist eh die meiste Zeit offline

    Zitat von afrieler

    Somit kann sich niemand anders mehr als Hauptnutzer registrieren und du hast die Hoheit über die Verwaltung deines Fahrzeuges.

    Mit den illegal beschaffen Zugangsdaten kann man sich auch als Hauptnutzer anmelden und darüber jede Menge Ärger verursachen, incl. Fahrzeug löschen und Verbindung trennen. ;)

    Ich fahre ein E-Auto und das aus Überzeugung,

    fossile Brennstoffe gehören bei mir der Vergangenheit an, 30 Jahre WW und Heizen mit Wärmepumpe.

    PV-Anlage - 26,65 kWp - 15 kWh Speicher - Eigenverbrauch + intelligente Wallbox "sonnenCharger"

    Zitat von GTX-ler

    Mit den illegal beschaffen Zugangsdaten kann man sich auch als Hauptnutzer anmelden und darüber jede Menge Ärger verursachen, incl. Fahrzeug löschen und Verbindung trennen. ;)

    Mit illegal beschaften Zugangsdaten räumt man dir auch dein Bankkonto ab ohne dass du das direkt merkst. ;)

    Wer aber sollte Interesse daran haben, dir die Kontrolle über dein Auto wegzunehmen oder im einfachsten Fall deine Fahrzeugdaten auszulesen?

    ID5. Pro Performance | Software 3.5 | Hamar 19" | Gletscherweiß Metallic Schwarz | Assistenzpaket | Design-Paket + | Infotainment Paket | Komfortpaket + | Sportpaket + | Wärmepumpe | Panaoramadach | Doppelter Ladeboden | AHK


    Bestellt am 03.07.2022 | Beim Händler am 07.07.2023 | Bei mir: 10.08.2023

    Zitat von schirrmi23

    Der Königsweg wäre natürlich, dass Auto und Smartphone (App) gegenseitig ihre Schlüssel tauschen. Das Auto würde dann nur Befehle mit vertrauenswürdiger Signatur annehmen.

    Das würde aber gar nicht funktionieren. Das Auto redet mit dem Backend durch eine von deinem Volkswagen ID Account komplett getrenntem System.

    Zwischen Handy + Auto gibt es keinerlei direkte Verbindung, das wäre auch überhaupt nicht erstrebenswert, da so u.A. auch das OAuth Konzept umgangen werden würde.


    Sprich: Schlüssel zwischen App und Auto austauschen klappt gar nicht.

    ---


    Was du dir wünscht sind zusätzliche Sicherheitsfunktionenen, z.B. Login-Benachrichtigung oder Einsicht von aktiven Logins / Tokens hinter den einzelnen Apps (im Sinne von OAuth, nicht zwangsläufig der Handy-App) sowie 2FA für den Volkswagen Login.


    Auch wenn es blöd klingt: Schreib VW doch mal und nenn denen deinen Wunsch. Sind ja valide Punkte. :thumbup:


    Alle Punkte bieten jedoch KEINEN Schutz gegen den Diebstahl von Tokens, siehe unten.

    Zitat von GTX-ler

    Mit den illegal beschaffen Zugangsdaten kann man sich auch als Hauptnutzer anmelden und darüber jede Menge Ärger verursachen, incl. Fahrzeug löschen und Verbindung trennen. ;)

    Mit "illegal" beschafften Tokens geht das tatsächlich auch bei vorhandener 2 Faktor Authentifizierung und den oben genannten Sicherheitsmethoden. Dagegen kann man sich nicht schützen. Gibt genügend Schadprogramme die diese Informationen aus dem Browser abfangen.


    Dafür gibt es aber auch Ansätze zur Schadensreduktion, wie z.B. Refresh Token Rotation. Diese minimieren wenigstens die Dauer und können Bösewichte dann aussperren.


    Zitat von Sonnenstromer

    Vielleicht kann ja unser bestens informierter siduenho was dazu sagen, warum VW das nicht macht.

    Face ID etc. bringt dir tatsächlich nix. Zugriff auf das Auto hat jeder mit Token der auf das VW Backend zugreifen darf. Man braucht ggf. für einige Aktionen dann die S-PIN.

    Klaut dir jemand dein Token und deinen S-PIN kann er halt alles machen.

    Face ID würde nur den S-PIN aus dem Lokal verschlüsselten Speicher deines iPhone freigeben, damit du diesen nicht selbst eintippen musst.


    Grundsätzlich gilt bei Logins etc.

    Es gibt keine vollumfängliche Sicherheit. Es gibt lediglich Methoden, um die Erkennbarkeit von Angriffen zu erhöhen und Angreifer möglichst schnell auszusperren.

    Freundliche Grüße Simon

    Einmal editiert, zuletzt von siduenho ()

    Danke 5 Gefällt mir 1
    Zitat von siduenho

    Face ID etc. bringt dir tatsächlich nix. Zugriff auf das Auto hat jeder mit Token der auf das VW Backend zugreifen darf. Man braucht ggf. für einige Aktionen dann die S-PIN.

    Klaut dir jemand dein Token und deinen S-PIN kann er halt alles machen.

    Face ID würde nur den S-PIN aus dem Lokal verschlüsselten Speicher deines iPhone freigeben, damit du diesen nicht selbst eintippen musst.

    Nicht ganz. Man kann bei besagten Token bei bestimmten Protokollen auch die Ursprungsadresse mitkodieren. Dann müsste der Angreifer zusätzlich noch von derselben IP-Adresse senden.

    Zitat von afrieler

    Mit illegal beschaften Zugangsdaten räumt man dir auch dein Bankkonto ab ohne dass du das direkt merkst.

    Wenn man zusätzlich noch den 2. Faktor (TAN-Generator, SMS-TAN, TAN-App, Device etc.) hat dann ja. Also, wenn kein Limit für tägliche Transaktionen gesetzt ist. Es gibt also durchaus weitere Sicherheiten.



    Zitat von bobl66

    ich sehe da auch kein großes Thema. Im schlimmsten Fall könnte jemand die Klimatisierung einschalten..

    Oder halt das Fahrzeug metergenau orten und Fahrten mitverfolgen.


    Zitat von siduenho

    Das würde aber gar nicht funktionieren. Das Auto redet mit dem Backend durch eine von deinem Volkswagen ID Account komplett getrenntem System.

    Zwischen Handy + Auto gibt es keinerlei direkte Verbindung, das wäre auch überhaupt nicht erstrebenswert, da so u.A. auch das OAuth Konzept umgangen werden würde.


    Sprich: Schlüssel zwischen App und Auto austauschen klappt gar nicht.

    Das weiß ich. Es wäre ja aber durchaus möglich, dass die Signatur durchgereicht wird. Das Auto würde dann nur die Befehle akzeptieren, die von vertrauenswürdigen Gegenstellen kommen. Das gilt natürlich dann nicht für Daten, die bereits auf dem Server vorhanden sind und wäre eine ziemliche Ausbaustufe für kritischere Anwendungen wie das Entriegeln des Autos. Die sollten nach Möglichkeit am besten eh nur lokal erfolgen.


    Zitat von siduenho

    Was du dir wünscht sind zusätzliche Sicherheitsfunktionenen, z.B. Login-Benachrichtigung oder Einsicht von aktiven Logins / Tokens hinter den einzelnen Apps (im Sinne von OAuth, nicht zwangsläufig der Handy-App) sowie 2FA für den Volkswagen Login.


    Auch wenn es blöd klingt: Schreib VW doch mal und nenn denen deinen Wunsch. Sind ja valide Punkte. :thumbup:

    Genau. Also so ziemlicher Standard. Die Sicherheit würde ja schon massiv erhöht werden, wenn man eine Einsicht und Benachrichtigung bekäme.
    Die Frage ist: Wie soll man diese Anforderung stellen? Und gibt es da nicht intern genug Menschen, die sich mit aktuellen Security-Basics im IAM auskennen?

    Zitat von siduenho

    Grundsätzlich gilt bei Logins etc.

    Es gibt keine vollumfängliche Sicherheit. Es gibt lediglich Methoden, um die Erkennbarkeit von Angriffen zu erhöhen und Angreifer möglichst schnell auszusperren.

    So ist es. Daher gibts ja gängige Best-Practices, um die Sicherheit schon in der Basis zu erhöhen. Das ist dann die Verantwortung des Anbieters, da der durchschnittliche Endnutzer ja gar nicht die komplexen technischen Abläufe verstehen kann und muss.
    So Dinge wie irgendwelche S-PINs oder Face-ID vor dem Öffnen der Anwendung schaffen da meiner Meinung nach ehr ein falsches Bild von Sicherheit.

    (Zumal der statische S-PIN wohl auch nicht für die Abfrage von Status und Standort notwendig ist, wenn ich https://github.com/thomasesmit…api/blob/master/README.md korrekt deute.)

    Zitat von Rhywden

    Nicht ganz. Man kann bei besagten Token bei bestimmten Protokollen auch die Ursprungsadresse mitkodieren. Dann müsste der Angreifer zusätzlich noch von derselben IP-Adresse senden.

    Du meinst bestimmt IMEI, deine IP-Adresse ist eine sich ständig ändernde Größe, also nix gut. ;)

    Ich fahre ein E-Auto und das aus Überzeugung,

    fossile Brennstoffe gehören bei mir der Vergangenheit an, 30 Jahre WW und Heizen mit Wärmepumpe.

    PV-Anlage - 26,65 kWp - 15 kWh Speicher - Eigenverbrauch + intelligente Wallbox "sonnenCharger"

    Danke 3
    Zitat von GTX-ler

    Du meinst bestimmt IMEI, deine IP-Adresse ist eine sich ständig ändernde Größe, also nix gut. ;)

    Eine IMEI hast du, wenn ich richtig liege, aber nur bei mobilen Endgeräten. Da wäre die MAC-Adresse aus meiner Sicht doch sicherer.

    ID5. Pro Performance | Software 3.5 | Hamar 19" | Gletscherweiß Metallic Schwarz | Assistenzpaket | Design-Paket + | Infotainment Paket | Komfortpaket + | Sportpaket + | Wärmepumpe | Panaoramadach | Doppelter Ladeboden | AHK


    Bestellt am 03.07.2022 | Beim Händler am 07.07.2023 | Bei mir: 10.08.2023

    Zitat von Rhywden

    Nicht ganz. Man kann bei besagten Token bei bestimmten Protokollen auch die Ursprungsadresse mitkodieren.

    Ja das geht, hat aber auch Folgen für den Nutzer (Komfortverlust). Denn die meisten ISP (Internetanbieter) wechseln die IP täglich.

    Das macht man dann eher bei wirklich sensiblen Dingen wie Obline-Banking.


    Es gilt halt immer die Abwägung zwischen Sicherheit und Komfort. Da muss man dann einen guten Mittelweg finden.

    Zitat von schirrmi23

    Die Sicherheit würde ja schon massiv erhöht werden, wenn man eine Einsicht und Benachrichtigung bekäme.

    Nein. Die Erkennbarkeit von Angriffen wird erhöht. Es bleibt immer noch genau so sicher wie vorher.

    Aber nicht falsch verstehen: Die Punkte dürfen gern umgesetzt werden.


    Aber um das deutlich zu sagen für alle technisch nicht ganz so versierten: Das System von VW ist grundsätzlich schon sicher und man muss sich erstmal keine Sorgen machen. Die Torte ist da, wir reden gerade über die Kirschen oben drauf.

    Freundliche Grüße Simon

    Gefällt mir 1
    Zitat von afrieler

    Eine IMEI hast du, wenn ich richtig liege, aber nur bei mobilen Endgeräten. Da wäre die MAC-Adresse aus meiner Sicht doch sicherer.

    Die MAC-Adresse von deinem Endgeräten (Netzwerkkarte, WLAN-Adapter) ist nur für deinen Router interessant, die wird von diesem normalerweise nicht ins Internet übertragen. Für bestimmte Zwecke kann man die MAC-Adresse auch manipulieren.


    In der Regel hat jeder Nutzer, der die WeConnect Funktion nutzt, auch ein mobiles Endgeräten. Das beginnt bereits bei der Anmeldung/Registrierung des ID.


    Die IMEI ist weltweit Einzigartig, Bestandteil für jedes mobile Endgerät auf dem die App installiert werden kann.

    Zitat von schirrmi23

    Oder halt das Fahrzeug metergenau orten und Fahrten mitverfolgen.

    ;) Wir sprechen hier nicht von Google, da kann man das live-tracking teilen ;)


    Beim ID geht das nicht.

    Ich fahre ein E-Auto und das aus Überzeugung,

    fossile Brennstoffe gehören bei mir der Vergangenheit an, 30 Jahre WW und Heizen mit Wärmepumpe.

    PV-Anlage - 26,65 kWp - 15 kWh Speicher - Eigenverbrauch + intelligente Wallbox "sonnenCharger"

    Einmal editiert, zuletzt von GTX-ler () aus folgendem Grund: Ein Beitrag von GTX-ler mit diesem Beitrag zusammengefügt.

    Danke 1
    Zitat von ID.3besteKarre

    Fahrten mitverfolgen geht nicht. Sobald das Fahrzeug in Bewegung ist wird die Ortung abgeschaltet.

    Sorry, ich meinte dass man Start und Ziel sehen kann.


    Zitat von siduenho

    Nein. Die Erkennbarkeit von Angriffen wird erhöht. Es bleibt immer noch genau so sicher wie vorher.

    Aber nicht falsch verstehen: Die Punkte dürfen gern umgesetzt werden.

    Jetzt wird's aber spitzfindig. :) Klar, die technische Sicherheit bleibt identisch. Die passive Sicherheit wird jedoch erhöht, da ich zumindest zeitnah mitbekomme, wenn irgendjemand unerlaubten Zugriff hat.


    Zitat von siduenho

    Aber um das deutlich zu sagen für alle technisch nicht ganz so versierten: Das System von VW ist grundsätzlich schon sicher und man muss sich erstmal keine Sorgen machen. Die Torte ist da, wir reden gerade über die Kirschen oben drauf.

    Genau. Sonst wäre auch garantiert schon irgendwas ganz dummes passiert. :)
    Die Torte ist aber meiner Meinung nach ehr ein ziemlich trockener Kuchen.
    Torte ist ehr das, was Mercedes macht: https://developer.mercedes-benz.com/products. Wenn auch da noch ohne Kirschen.
    Neben der Tatsache, dass es generell eine API-Doc gibt, kann man auch eigene Credentials vergeben und als Endkunde zumindest die letzten Aktivitäten und verbundenen Apps/Clients einsehen.

    Das wird aber wieder zu viel OT.


    Ich fasse zusammen: Es gibt aktuell keine "erweiterte Sicherheit" in Form von 2FA, Benachrichtigungen, Geräteliste/Logs etc.
    Wenn man sicher sein möchte, muss man also sein Passwort sehr regelmäßig ändern.


    Tronity zeichnet z.B. sehr fleißig meine Fahrten auf, obwohl man im Konto nichts unter "verbundene Apps" sehen kann:

    Bildschirmfoto 2023-11-06 um 12.54.24.pngBildschirmfoto 2023-11-06 um 12.53.57.png


    Das könnten demnach auch Dritte, die es irgendwie geschafft haben sich einzuloggen. Ich bekomme davon aber nichts mit.

    Zitat von GTX-ler

    ;) Wir sprechen hier nicht von Google, da kann man das live-tracking teilen ;)


    Beim ID geht das nicht.

    Der Standort (geparkt) wird durchaus exakt übermittelt. Wenn sich der Standort ändert, sehe ich zwar dann keine genaue Route, aber trotzdem eine Bewegung.

    Einmal editiert, zuletzt von schirrmi23 () aus folgendem Grund: Ein Beitrag von schirrmi23 mit diesem Beitrag zusammengefügt.

    Zitat von schirrmi23

    Tronity zeichnet z.B. sehr fleißig meine Fahrten auf, obwohl man im Konto nichts unter "verbundene Apps" sehen kann:

    Weil du Tronity damals bewusst alle Anmeldedaten gegeben hast.

    Nur kannst du es hier aufgrund fehlender Mail-Benachrichtigung nicht sofort erkennen.


    Heute mach Tronity das anders und taucht auch ganz offiziell dort auf und du kannst Zugriffe entfernen.


    Aber ich glaube damit ist das Thema ja durch. Gibt es heute nicht.


    (PS: Spitzfindig bin ich nur für die normalen User hier. Die werden idR. nervös wenn wir mit technischen Dingen um uns werfen. Und daher wollte ich das klarstellen :) )


    Zitat von GTX-ler

    Die IMEI ist weltweit Einzigartig, Bestandteil für jedes mobile Endgerät auf dem die App installiert werden kann.

    Funktioniert aber in diesem Fall nicht. Du musst das Zusammensetzen aus Token und zusätzlichem Kriterium ja im Backend machen (ansonsten muss der Angreifer ja nur Token + IMEI abfangen). TCP hat aber keine IMEI vorgesehen und auch keine MAC Adresse.

    Da siehst du nur die IP-Adresse.


    Der Server würde also die IP mit dem von Nutzer geschickten Token verknüpfen und dann prüfen. Ist die IP also plötzlich anders, würde der Server den Token ablehnen. Obwohl Nutzer und Angreifer den gleichen Token schicken.


    Aber wie schon gesagt, diese Methode nutzt man nur für richtig kritische Themen wie Online Banking.

    Freundliche Grüße Simon

    Danke 1
    Zitat von siduenho

    Weil du Tronity damals bewusst alle Anmeldedaten gegeben hast.

    Nur kannst du es hier aufgrund fehlender Mail-Benachrichtigung nicht sofort erkennen.

    Das weiss ich selbst. :)

    Es sollte nur ein Beispiel aus der Praxis sein, dass so eine Aufzeichnung über lange Zeit und ganz unbemerkt möglich ist. Auch heute noch. Das ist vielen vielleicht gar nicht bewusst.


    Zitat von siduenho

    Aber ich glaube damit ist das Thema ja durch. Gibt es heute nicht.

    Genau. Gibts nicht. :(

Jetzt mitmachen!

Drei Gründe dafür:
- Austausch mit anderen VW ID. Fahrern
- Alles zu Versicherung & Finanzierung
- Tipps zum Fahren & Laden

Registriere Dich kostenlos und nehme an unserer Community teil!

Benutzerkonto erstellen Anmelden