Schwachstellen > Audi Cyber Security > Audi Deutschland
Audi Cyber Security: Disqualifizierende Schwachstellen

Schwachstellen

Disqualifizierende Schwachstellen

  • IT Systeme und Apps:
  • Schwachstellen, die sich außerhalb des Geltungsbereichs befinden
  • Denial-of-Service-Angriff (DoS / DDoS)
  • Brute-Force-Angriff
  • Social Engineering
  • Schwachstellen ohne Auswirkung auf die Sicherheit (Ihre Schwachstelle muss eine Auswirkung auf die Sicherheit haben, um berücksichtigt zu werden.)
  • URL-Weiterleitung
  • Berichte, die von automatischen Scan-Tools generiert wurden
  • Fehlende TLS-Kommunikation
  • Ausgelaufene TLS-Zertifikate
  • Fahrzeuge
  • Physische Zerstörung von Schlössern, Diebstahlsicherungen etc.
  • Erlangen von Fahrzeugzugang durch physische Zerstörung
  • Verwendung gültiger Diagnose-Funktionen
  • Denial-of-Service Angriffe auf Steuergeräte oder Bussysteme mittels Überflutung

Qualifizierende Schwachstellen


  • IT Systeme: OWASP Top 10
  • Injection
  • Fehler in der Authentifizierung
  • Cross-Site-Scripting (XSS)
  • Zugriff auf Objekte ohne Berechtigungsprüfung
  • Sicherheitsrelevante Fehlkonfiguration
  • Enthüllung sensibler Daten
  • Fehlende Zugriffskontrolle auf Funktionsebene
  • Cross-Site-Request-Forgery (CSRF)
  • Nutzung von Komponenten mit bekannten Schwachstellen
  • Nicht validierte Umleitungen und Weiterleitungen
  • Fahrzeuge
  • Schwachstellen
    - in Firmware-Updates und kryptografische Signaturen
    - im Identitätsmanagement
    - in Embedded Software Frameworks
    - in Debug-Schnittstellen
    - in Netzwerkprotokollen
    - in Authentifizierungsverfahren
  • Buffer and Stack Overflow
  • Injection
  • Externes Einschleusen beliebiger Daten auf fahrzeuginternen Bussystemen (CAN, LIN, Flexray etc.)
  • Fahrzeugentriegelung
  • Remote-Code-Ausführung
  • Kompromittierung des Update-Mechanismus, z. B. Einbringen von unerlaubter Firmware in Steuergeräte
  • Verstöße gegen DSGVO-Vorgaben: Datenerhebung, -nutzung, -speicherung und Enthüllung sensibler Daten