Schwachstellen > Audi Cyber Security > Audi Deutschland
Schwachstellen
Disqualifizierende Schwachstellen
- Schwachstellen, die sich außerhalb des Geltungsbereichs befinden
- Denial-of-Service-Angriff (DoS / DDoS)
- Brute-Force-Angriff
- Social Engineering
- Schwachstellen ohne Auswirkung auf die Sicherheit (Ihre Schwachstelle muss eine Auswirkung auf die Sicherheit haben, um berücksichtigt zu werden.)
- URL-Weiterleitung
- Berichte, die von automatischen Scan-Tools generiert wurden
- Fehlende TLS-Kommunikation
- Ausgelaufene TLS-Zertifikate
- Physische Zerstörung von Schlössern, Diebstahlsicherungen etc.
- Erlangen von Fahrzeugzugang durch physische Zerstörung
- Verwendung gültiger Diagnose-Funktionen
- Denial-of-Service Angriffe auf Steuergeräte oder Bussysteme mittels Überflutung
Qualifizierende Schwachstellen
- Injection
- Fehler in der Authentifizierung
- Cross-Site-Scripting (XSS)
- Zugriff auf Objekte ohne Berechtigungsprüfung
- Sicherheitsrelevante Fehlkonfiguration
- Enthüllung sensibler Daten
- Fehlende Zugriffskontrolle auf Funktionsebene
- Cross-Site-Request-Forgery (CSRF)
- Nutzung von Komponenten mit bekannten Schwachstellen
- Nicht validierte Umleitungen und Weiterleitungen
-
Schwachstellen
- in Firmware-Updates und kryptografische Signaturen
- im Identitätsmanagement
- in Embedded Software Frameworks
- in Debug-Schnittstellen
- in Netzwerkprotokollen
- in Authentifizierungsverfahren - Buffer and Stack Overflow
- Injection
- Externes Einschleusen beliebiger Daten auf fahrzeuginternen Bussystemen (CAN, LIN, Flexray etc.)
- Fahrzeugentriegelung
- Remote-Code-Ausführung
- Kompromittierung des Update-Mechanismus, z. B. Einbringen von unerlaubter Firmware in Steuergeräte
- Verstöße gegen DSGVO-Vorgaben: Datenerhebung, -nutzung, -speicherung und Enthüllung sensibler Daten