Sicherheitslücke im GPS-Modul

[KingMichi]

Hallo,

heise.de hat heute einen Artikel bzgl. einer Sicherheitslücke im GPS-Modul der SuperSocos veröffentlicht:
https://www.heise.de/hintergrund/Schwer ... 2820.html

Kurzform: Durch eine Sicherheitslücke im Server kann man offenbar alle aktuellen Fahrzeugdaten inkl. Standort und Telefonnummer (sofern registriert) jedes verbauten Moduls auslesen, unabhängig davon, ob das Modul aktiv genutzt wird.

Das mal nur als Hinweis, mal sehen, wie sich die Geschichte entwickelt...

Viele Grüße
Michi

[Squirrel]

Danke, ich wollte das auch gerade posten. Vor allem: wenn man den Modul nicht stil legt kann er jederzeit abgefragt werden ob man die App verwendet oder nicht spielt dabei keine Rolle.

[Pfriemler]

Es ist ein Skandal ohnegleichen. Was bin ich froh, bei meiner CUx noch die alte ECU in der Mottenkiste zu haben. Die ist in 15 Minuten montiert.

An alle CUx-Fahrer: Es ist relativ leicht, das Trackermodul zu entfernen. Bei meiner CUx ist es Bestandteil der ECU als eigenständiges Modul und kann vermutlich problemlos entfernt werden. Die eigentliche ECU habe ich eingehend verglichen und keinerlei Unterschiede feststellen können.

Interesse an einer Anleitung?

edit: Die Kollegen bei den Elektromotorrädern beginnen natürlich auch schon zu diskutieren:
viewtopic.php?f=64&t=18698

[AlecTron]

Gut dass ich meinen CPX nie mit meinem Handy verbunden habe. ¯\_(ツ)_/¯

[techsoz]

wer lesen kann ist klar im Vorteil:
"Ob die betroffenen Eigentümer ihr Fahrzeug registriert haben, spielt dabei keine Rolle;"

[AlecTron]

"Ob die betroffenen Eigentümer ihr Fahrzeug registriert haben, spielt dabei keine Rolle;"

Wenn ich noch nie die App drauf hatte und mein Handy nie mit dem Fahrzeug verbunden habe kennt es meine Telefonnummer logischerweise auch nicht und kann diese nicht weitersenden.

[CoolDuke]

Trotzdem sind deine Bewegungsdaten und somit auch der Abstellort im Internet abrufbar. Dass die Handynummer dabeisteht, ist meine kleinste Sorge.

Habe nur leider noch keine Anleitung gefunden, wie man das Teil ausbauen bzw. dessen Stromversorgung trennen kann.

[Pfriemler]

Habe mal spaßeshalber zu sniffen versucht wenn die App läuft. Das ist zumindest schon mal verschlüsselt.

Unklar ist, ob komplette Standorthistorien abrufbar sind. Tracks leider auf jeden Fall, und die beiden häufigsten auftauchenden Standorte dürften das Zuhause und die Arbeitsstelle sein. Das ist schon mal großer Mist. Insofern lohnt es eigentlich auch nicht, den Roller in den Wald zu fahren und dort das Modul auszubauen, nur damit der letzte dem System bekannte Standort eben nicht das Zuhause ist.

Meinen Händler brauche ich gar nicht erst zu fragen. Die haben ja noch nicht einmal die entdrosselungsverdongelte Firmware für die CUx im Haus, nach der ich sie in Vorbereitung der Weitergabe des Rollers gefragt habe...

Also es ist schon gruselig, wenn man mit vertretbarem Aufwand herausbekommen kann, wo in der Nähe fahrbereite Fahrzeuge auf den Abtransport zur monetären Verwertung warten.

[felixyz]

Also es ist schon gruselig, wenn man mit vertretbarem Aufwand herausbekommen kann, wo in der Nähe fahrbereite Fahrzeuge auf den Abtransport zur monetären Verwertung warten.

Hilft nicht zufällig eine Teilkasko für den Fall zu haben, am besten ohne SB?

[Squirrel]

Die App wird das geringere Problem sein. Anscheinend telefonieren die CPX dauernd mit "zu Hause", egal ob man die App verwendet oder nicht. Die App holt die Daten nur aus der Cloud. Die landen dort immer, egal ob man die App verwendet oder nicht.

Das Problem liegt wohl in den in der Cloud liegenden Daten. Vmoto bringt beim Anmelden mit der App Telefonnummer und Fahrzeug zusammen und liefert die Daten aus. Der Exploit deutet darauf hin dass das hier verwendete Protokoll so anfällig ist dass man eine andere Anmeldung vorgaukeln und damit die Daten eines beliebigen CPX abgreifen kann.

Grundsätzlich passiert sowas ständig irgendwo (wenn jemand z.B. im März die "Hafnium"-Attacke auf Microsoft Exchange mitbekommen hat ...) aber die Krux liegt im Betreiber (Vmoto) - tun die was oder tun die nichts - und ob es eine Möglichkeit gibt den Datenaustausch zwischen Roller und VMoto zu unterbinden.

In China kann es immer passieren dass nette Herren mit schwarzen Anzügen und netten kleinen Technikkoffern vorbeikommen und eine Firma höflich und nachdrücklich darum bitten ihre Technik an deren Equipment anschließen zu können. Die chinesische Firma hat keine Chance und rechtliche Handhabe dieser netten Aufforderung keine Folge zu leisten. Eventuell liegt also der obige Exploit "nur" an der Neugier des chinesischen Geheimdienstes.