Tronity und andere Logging und Analysetools für den VW ID.4

Zitat von GTX-ler

Das Problem, auf das ich anspielte, ist schlichtweg die Möglichkeit von Hackangriffen und Manipulationen am Fahrzeug. Und dieser Bereich wird in der Regel unterschätzt, hier muß Volkswagen, meiner Meinung nach, noch an sich Arbeiten.

Und jede App, die auf dein Fahrzeug und oder deine Daten, informativ oder steuern, zugreifen kann ist ein Einfallstor. Auch hier hat Volkswagen bewiesen, dass sie bis heute das Thema nicht ernst nimmt. Und das ist die andere Wahrheit.

Und auch das solltest du mal erklären.
Tronity greift nicht auf das Fahrzeug, das lässt VW über den Weg gar nicht zu.
Tronity greift, genau wie die WeConnect App auf das Backend bei VW. Ich wüsste nicht, wie man auf diesem Weg das Fahrzeug hacken sollte.
Dazu muss man schon direkt auf dass Fahrzeug kommen.

Zitat von siduenho

So wie es da steht klingt mir das eher nach einer argumentationslosen Behauptung.

Dann ist die Pressemeldung und die zitierten Bedenken deiner Meinung nach auch völlig unbegründet und überzogen?

Auserdem habe ich nur meine Bedenken geäußert. Und wie habe ich oben geschrieben:

Geh mal in den App Store von Google oder Apple, such dir alle Apps von Volkswagen und lies die Bewertungen.

Vertrauensbildende Maßnahmen sehen ander aus.

Ich war mehrere Jahre auch mit Verifizierung und Validierung beauftragt, in meinem Fachteam ging es mit unter um HW, Platformen und SW, bis zum Systemnachweis. Nein, ich komme nicht aus der Automobilindustrie, unsere Produkte konnten zum Teil fliegen und waren auch im Bereich sicherheitskritische Systeme angesiedelt.

Zitat von herbert

Und auch das solltest du mal erklären.

Mein Beitrag bezieht sich auf die Pressemeldung im allgemeinen, nicht auf Tronity im speziellen.

In den Bewertungen im App-Store stehen sicherlich keine Hinweise wie sicher oder unsicher das Fahrzeug ist.

Das ist ein Thema, das für alle Hersteller kritisch ist, der Bericht hat da schon Recht.

Du schreibst aber explizit, dass VW beim Bereich Sicherheit noch eine Menge tun muss.

Welche Infos hast du hierzu?
Wo gibt es eine beschriebene Sicherheitslücke?

Zitat von herbert

Du schreibst aber explizit, dass VW beim Bereich Sicherheit noch eine Menge tun muss.

So hab ich das nicht geschrieben.

Das beziehe ich auf die Mentalität von Volkswagen. Wenn jemand kein besonderes Interesse hat seine Apps auf Vordermann zu bekommen, dann sind das nicht unbedingt vertrauensbildende Maßnahmen, ich sehe das in der Gesamtheit.

Zitat von herbert

Und auch das solltest du mal erklären.
Tronity greift nicht auf das Fahrzeug, das lässt VW über den Weg gar nicht zu.
Tronity greift, genau wie die WeConnect App auf das Backend bei VW. Ich wüsste nicht, wie man auf diesem Weg das Fahrzeug hacken sollte.
Dazu muss man schon direkt auf dass Fahrzeug kommen.

Naja, da ist schon was dran. Wenn ich einen Weg finde ohne das Passwort des Users mir ein Token zu generieren, oder irgendwie die Tokens abgefangen bekomme, dann kann ich auch mit WeConnect Schaden anrichten. Ich kann dann aus der Ferne das Auto aufschließen, hupen, Warnblinker an machen, aber auch die Heizung immer wieder anstellen bis der Akku (fast) leer ist.

Und das dann als Flottenangriff auf alle WeConnwct fähigen Fahrzeuge gleichzeitig. Das ist schon eine Bedrohung der höheren Kategorie und publicitymäßig ein Desaster für den Hersteller wenn so etwas passiert.

Im Grundsatz muss man schon sagen dass jede Schnittstelle nach außen ein potenzielles Risiko darstellt.

Zitat von GTX-ler

So hab ich das nicht geschrieben.

Das beziehe ich auf die Mentalität von Volkswagen. Wenn jemand kein besonderes Interesse hat seine Apps auf Vordermann zu bekommen, dann sind das nicht unbedingt vertrauensbildende Maßnahmen, ich sehe das in der Gesamtheit.

Die Entwicklungsteams für die App und die für das Fahrzeug sind völlig unterschiedlich. Du brauchst eine ganz andere Ausbildung um Software im Auto zu entwickeln als für eine Smartphone App.

Ich würde nicht vom einen auf das andere schließen. Bestenfalls könnte man noch sagen dass man daran die „Firmenkultur“ ablesen kann. Aber auch das finde ich recht weit hergeholt.

Zitat von stein

Die Entwicklungsteams für die App und die für das Fahrzeug sind völlig unterschiedlich.

Es ist aber, im weiteren Sinne, der gleiche Auftraggeber. Ich sehe das Ganze als System und dazu gehören halt nicht nur die Funktionen im Fahrzeug, sondern auch die dafür angebotenen Apps.

Zitat von GTX-ler

Es ist aber, im weiteren Sinne, der gleiche Auftraggeber. Ich sehe das Ganze als System und dazu gehören halt auch nicht nur die Funktionen im Fahrzeug, sondern auch die dafür angebotenen Apps.

Jo, sag ich ja. Das wäre dann ein Problem mit der Firmenkultur. Ich persönlich würde aber die Verbindung nicht ziehen.

stein Ja dieses Angriffsszenario geht bei OAuth immer wenn der Nutzer mir sein Authorisierungsdaten einmalig mitteilt. Dann kann ein Dienst (gut oder böswillig) beliebig lange über die Refresh Token neue Access Tokens erzeugen. Geht übrigens auch, wenn man den Refresh Token abfängt und der Dienst kein Refresh Token Rotation implementiert hat.

Aber das liegt halt in der Natur der Sache. Wenn jemand Trinity so sehr vertraut und die auf ihr WeConnect zugreifen zu lassen der hat bereits die erste Tür geöffnet. Dagegen kann VW nix tun. Und BTW: Diese "möchtest du XYZ Zugriff auf folgende Bereiche deines Accounts geben" was man bei vielen Diensten kennt (Google, Spotify usw.) ist ja effektiv genau das gleiche nur mit etwas mehr Beschränkung und das man dort nicht sein Passwort weitergeben muss.

Zitat von stein

Und das dann als Flottenangriff auf alle WeConnwct fähigen Fahrzeuge gleichzeitig.

Das verstehe ich nicht. Wenn ich die Token für einen Nutzer kann ich nur auf die Daten und Schnittstellen von diesem einen Nutzer zugreifen. Wenn soetwas möglich ist, dann hat der Hersteller des Dienstes ein RIESIGES Sicherheitsproblem. Und ich bin mir fast felsenfest sicher, dass das bei WeConnect alles I.O. ist.

Fakt ist: Die Nutzung von Tronity ist sicherheitstechnisch nicht unbedingt gut. Besser wäre es wenn VW über geeignete Wege Drittapps auf Daten von WeConnect zugreifen lassen könnte.

Aber das was die Nutzer aktuell machen ist deren Schuld und kann nicht VW vorgehalten werden.

Ich stimme zu allen deinen Aussagen zu. Ich wollte lediglich sagen dass jede Schnittstelle zum Auto potentiell ein Angriffsvektor ist. Auch WeConnect. Das war garnicht auf Tronity bezogen. Klar, wer sein Passwort jemand anderem gibt ist erstmal selbst Schuld. Aber nicht erst log4shell hat uns wieder vor Augen geführt, dass das Backend nicht unangreifbar ist.

Nicht falsch verstehen. Ich glaube nicht dass ein Sicherheitsproblem besteht, ich will nur sagen dass eines bestehen könnte. Auch wenn man bei WeConnect nicht direkt mit dem Fahrzeug kommuniziert.

Zitat von siduenho

Fakt ist: Die Nutzung von Tronity ist sicherheitstechnisch nicht unbedingt gut. Besser wäre es wenn VW über geeignete Wege Drittapps auf Daten von WeConnect zugreifen lassen könnte.

Aber das was die Nutzer aktuell machen ist deren Schuld und kann nicht VW vorgehalten werden.

Aber genau das macht doch VW.
Es gibt eine definierte Schnittstelle für Entwickler von Dritt-Software.
Und Tronity nutzt genau diese. Wer das einfach haben möchte, nutzt Tronity.

Möchte man es sicherer haben, muss man sich mal die Links anschauen, die im Footer von "stein" stehen.
Die dort beschriebene Variante greift auf genau dieselbe Schnittstelle zu.
Die es übrigens in der Form bei sehr vielen Autoherstellern gibt.

Zitat von herbert

Aber genau das macht doch VW.
Es gibt eine definierte Schnittstelle für Entwickler von Dritt-Software.
Und Tronity nutzt genau diese. Wer das einfach haben möchte, nutzt Tronity.

Möchte man es sicherer haben, muss man sich mal die Links anschauen, die im Footer von "stein" stehen.
Die dort beschriebene Variante greift auf genau dieselbe Schnittstelle zu.
Die es übrigens in der Form bei sehr vielen Autoherstellern gibt.

Ne, das ist keine definierte Schnittstelle für Entwickler von Dritt-Software. Das ist Reverse-Engineering der Smartphone-App.

Okay.

Aber sie stellen es in einer Form zur Verfügung die man nutzen kann.

Würden sie es nicht wollen, würden sie es nicht zur Verfügung stellen.

herbert VW stellt es für die eigene App zur Verfügung. Es liegt in der Natur der Sache das man die App mit eigener Software "simulierten" kann.

Das ist als wenn du dich an die private Wallbox von jemand anderen anstecken würdest. Sollst du eigentlich nicht ohne Erlaubnis, aber funktionieren tut es trotzdem.

Das heißt aber noch lange nicht das VW das "will". Sie dulden diese inkorrekte Nutzung.

auf jeden Fall ist die Zugriffsart von Tronity sicherheitstechnisch bedenklich.

Möglicherweise kommt von VW ja nochmal eine explizite Zugriffsmöglichkeit.

Zitat von siduenho

Das heißt aber noch lange nicht das VW das "will". Sie dulden diese inkorrekte Nutzung.

auf jeden Fall ist die Zugriffsart von Tronity sicherheitstechnisch bedenklich.

Möglicherweise kommt von VW ja nochmal eine explizite Zugriffsmöglichkeit.

Dann müsste aber Volkswagen für Tronity & Co. eine eigene Plattform/Server zur Verfügung stellen, wo nur lesen möglich ist und absolut keine Steuerungsfunktionen übertragen werden können.

Zitat von GTX-ler

Dann müsste aber Volkswagen für Tronity & Co. eine eigene Plattform/Server zur Verfügung stellen, wo nur lesen möglich ist und absolut keine Steuerungsfunktionen übertragen werden können.

Ja und VW müsste eine zweite User ID zur Verfügung stellen, mit der nur Lesen möglich ist. Nicht falsch verstehen, ich halte es für sehr sinnvoll, wenn API's zur Verfügung gestellt werden - das schafft innovative Lösungen