{"id":231856,"date":"2020-05-20T00:18:53","date_gmt":"2020-05-19T22:18:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231856"},"modified":"2021-10-15T10:40:26","modified_gmt":"2021-10-15T08:40:26","slug":"sicherheitsvorfall-mercedes-olu-software-abgreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/20\/sicherheitsvorfall-mercedes-olu-software-abgreifbar\/","title":{"rendered":"Sicherheitsvorfall: Mercedes OLU-Software abgreifbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/05\/20\/security-incident-source-code-for-mercedes-olu-leaked\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Bei Mercedes Benz hat es einen Sicherheitsvorfall gegeben. Ein Schweizer Ingenieur fand einen GitLab-Server, bei dem er ein Konto anlegen und dann auf den Quellcode der Onboard Logic Units (OLUs) zugreifen konnte. Diese OLUs sind in den neuen 'Smart Car'-Modellen der Mercedes-Benz Sprinter (Vito, eVito) eingebaut und erm\u00f6glichen digitale Dienste zu nutzen.<\/p>\n<p><!--more--><\/p>\n<h2><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/49a34e77d4184f3a8aa49d09edd2b9dc\" alt=\"\" width=\"1\" height=\"1\" \/>Mercedes-Benz: Digitalisierung im Transportsektor<\/h2>\n<p>Zuerst ein paar Worte zum Thema OLUs. Onboard Logic Units (OLUs) sind elektronische Steuereinheiten, die auch in Mercedes-Benz-Fahrzeugen (Smart Car) eingesetzt werden. Mercedes Benz VANS beschreibt deren Sinn im Projekt 'Digitalisierung im Transportsektor' in <a href=\"https:\/\/web.archive.org\/web\/20201127143525\/https:\/\/blog.mercedes-benz-passion.com\/2019\/10\/mercedes-benz-vans-treibt-digitalisierung-im-transportsektor-voran\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Blog-Beitrag<\/a>. Dort hei\u00dft es:<\/p>\n<blockquote><p>Die aktuelle Generation des Sprinter ist vor gut einem Jahren bereits als vollvernetztes Fahrzeug auf den Markt gekommen. Mit ihm \u2013 und inzwischen auch mit dem Vito und eVito \u2013 k\u00f6nnen die Mercedes PRO connect Dienste genutzt werden.<\/p><\/blockquote>\n<p>Die Vernetzungsl\u00f6sung von Mercedes-Benz erm\u00f6glicht den Kunden, online Auftr\u00e4ge zu steuern und Fahrzeuginformationen wie Standort, Tankf\u00fcllstand oder Wartungsintervalle nahezu in Echtzeit abzufragen. So k\u00f6nnen Speditionen unter anderem Ausfallzeiten durch ein vorausschauendes Wartungs- und Reparaturmanagement reduzieren. Gleichzeitig erm\u00f6glicht Mercedes-Benz auch eine betriebswirtschaftliche Analyse des Fuhrparks. Laut Blog-Beitrag nutzen Fuhrparkbetreiber vom Kleinstgewerbe bis hin zu Gro\u00dfkunden die Services von Mercedes PRO. Im Juli 2019 hatte fast jeder zweite Sprinter-Neukunde einen oder mehrere Dienste aktiviert.<\/p>\n<h2>Zugriff auf den Quellcode<\/h2>\n<p>Daimler speichert den Quellcode f\u00fcr die Software der Onboard Logic Units auf einem GitLab-Server, damit die Entwickler darauf zugreifen k\u00f6nnen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">A Swiss software engineer found the server using Google dorks and then registered an account &#8212; because Daimler didn't limit the registration process to Daimler corporate emails.<\/p>\n<p>He then downloaded 580 of Daimler's OLU repos. <a href=\"https:\/\/t.co\/9oxbqS3PqT\">pic.twitter.com\/9oxbqS3PqT<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1262392263596007426?ref_src=twsrc%5Etfw\">May 18, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Offenbar ist den Daimler-Leuten dabei ein Fehler in der Absicherung des GitLab-Servers passiert. <a href=\"https:\/\/www.zdnet.de\/88379887\/mercedes-benz-verliert-quellcode-von-smart-car-komponenten\/\" target=\"_blank\" rel=\"noopener noreferrer\">Tillie Kottmann<\/a> ist ein Software-Entwickler aus der Schweiz. \u00dcber '<a href=\"https:\/\/www.kuketz-blog.de\/google-hacking-die-dunkle-seite-der-suchmaschine\/\" target=\"_blank\" rel=\"noopener noreferrer\">Google Dorks<\/a>' stie\u00df er auf den Daimler GitLab-Server und stellte fest, dass die Administratoren die Registrierung neuer Konten nicht auf E-Mail-Adressen von Daimler-Angestellten begrenzt hatten.<\/p>\n<p>Nach seinen Angaben war er dadurch in der Lage, ein eigenes Konto beim Git-Web-Portal der Mercedes-Benz-Mutter Daimler anzulegen. Anschlie\u00dfend konnte er auf das Quellcode-Repository zugreifen. Dort fand er den Quellcode von mehr als 580 Git-Repositories, den er sich herunterlud.<\/p>\n<p>Darunter war auch der Quellcode der der Onboard Logic Units (OLUs), die in den Fahrzeugen von Daimler verbaut werden. Die OLUs sollen die Fahrzeuge 'mit der Cloud' verbinden. Unter anderem geht es dabei um das Tracken von Fahrzeugen, oder das Deaktivieren eines gestohlenen Fahrzeugs. Ein englischsprachiger Beitrag von ZDNet findet sich <a href=\"https:\/\/www.zdnet.com\/article\/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>. Es gibt inzwischen auch einen <a href=\"https:\/\/www.zdnet.de\/88379887\/mercedes-benz-verliert-quellcode-von-smart-car-komponenten\/\" target=\"_blank\" rel=\"noopener noreferrer\">deutschsprachigen ZDNet-Beitrag<\/a> zum Thema, wo sich weitere Informationen finden.<\/p>\n<p>Wer mit der Cloud als Datenspeicher lieb\u00e4ugelt, setzt sich der Gefahr eines Datendiebstahls aus \u2013 denn die Cloud verzeiht keine Sicherheitsfehler. Erinnert mich an einen Spruch, der schon mehr als 10 Jahre alt ist. Bin nicht sicher, ob er von Google Manager Eric Schmidt oder Google Gr\u00fcnder Page stammt. Auf Vorw\u00fcrfe gegen Google reagierte der Google-Repr\u00e4sentant mit den Worte: 'Wenn Sie ihre Daten vor Google sch\u00fctzen m\u00f6chten, speichern Sie diese am besten nie im Web oder auf Computern, da Google diese Information bekommt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Bei Mercedes Benz hat es einen Sicherheitsvorfall gegeben. Ein Schweizer Ingenieur fand einen GitLab-Server, bei dem er ein Konto anlegen und dann auf den Quellcode der Onboard Logic Units (OLUs) zugreifen konnte. Diese OLUs sind in den neuen 'Smart Car'-Modellen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/05\/20\/sicherheitsvorfall-mercedes-olu-software-abgreifbar\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-231856","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231856","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231856"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231856\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231856"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231856"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231856"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}