Bitte verwenden Sie ausschließlich den ausgewiesenen Kommunikationskanal, um uns Schwachstelleninformationen zu melden. Senden Sie uns bitte die Information in englischer oder deutscher Sprache zu. Um die Vertraulichkeit der Daten zu schützen, verschlüsseln Sie die E-Mail mit dem öffentlichen PGP-Schlüssel. Geben Sie außerdem ausreichend Details zum Nachstellen der Schwachstelle an:
Bitte beachten Sie, dass Fahrzeuge sicherheitstechnischen und gesetzlichen Vorschriften unterliegen. Daher kann das Beheben einer Fahrzeugschwachstelle z. B. durch notwendige Absicherungen zeitaufwändiger sein. Geben Sie uns daher bitte Zeit (Responsible Disclosure).
<ul> <li>Schwachstellen, die sich außerhalb des Geltungsbereichs befinden</li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Denial-of-Service-Angriff (DoS / DDoS)</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Brute-Force-Angriff</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Social Engineering</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Schwachstellen ohne Auswirkung auf die Sicherheit (Ihre Schwachstelle muss eine Auswirkung auf die Sicherheit haben, um berücksichtigt zu werden.)</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">URL-Weiterleitung</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Berichte, die von automatischen Scan-Tools generiert wurden</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Fehlende TLS-Kommunikation</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Ausgelaufene TLS-Zertifikate</span><br></li> </ul> <p><br></p> <p class="sceditor-nlf"><br></p>
<p class=""><br></p> <ul> <li>Physische Zerstörung von Schlössern, Diebstahlsicherungen etc.<br></li> <li>Erlangen von Fahrzeugzugang durch physische Zerstörung<br></li> <li>Verwendung gültiger Diagnose-Funktionen</li> <li>Denial-of-Service Angriffe auf Steuergeräte oder Bussysteme mittels Überflutung</li> </ul> <p class=""><br></p> <p class="sceditor-nlf"><br></p>
<p class=""><br></p> <div> <ul> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Injection</span><br></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Fehler in der Authentifizierung<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Cross-Site-Scripting (XSS)<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Zugriff auf Objekte ohne Berechtigungsprüfung<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Sicherheitsrelevante Fehlkonfiguration<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Enthüllung sensibler Daten<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Fehlende Zugriffskontrolle auf Funktionsebene<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Cross-Site-Request-Forgery (CSRF)<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Nutzung von Komponenten mit bekannten Schwachstellen<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Nicht validierte Umleitungen und Weiterleitungen<br></span></span></li> </ul> </div> <p class="sceditor-nlf"><br></p>
<ul> <li> <p class="" role="listitem">Schwachstellen<br>- in Firmware-Updates und kryptografische Signaturen<br>- im Identitätsmanagement<br>- in Embedded Software Frameworks<br>- in Debug-Schnittstellen<br>- in Netzwerkprotokollen<br>- in Authentifizierungsverfahren</p> <div><span style="color: #333333; font-family: AudiType, sans-serif;"><br></span></div> </li> <li> <p class="" role="listitem"><span style="color: #333333; font-family: AudiType, sans-serif;">Buffer and Stack Overflow<br></span></p> </li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Injection</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Externes Einschleusen beliebiger Daten auf fahrzeuginternen Bussystemen (CAN, LIN, Flexray etc.)</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Fahrzeugentriegelung</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Remote-Code-Ausführung</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Kompromittierung des Update-Mechanismus, z. B. Einbringen von unerlaubter Firmware in Steuergeräte</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Verstöße gegen DSGVO-Vorgaben: Datenerhebung, -nutzung, -speicherung, und Enthüllung sensibler Daten</span><br></li> </ul> <p><br></p>