Acquire
Ein Mann hat ein Handy in der Hand

Kontakt Cyber Security Audi Vulnerability Reporting Policy

Die Sicherheit und hohe Qualität unserer Produkte zu erhalten, ist uns ein wichtiges Anliegen. Hinweise von Sicherheitsexperten sind uns dabei sehr wichtig. Falls Sie eine potentielle Schwachstelle in einem unserer Produkte finden, senden Sie uns bitte Ihre Ergebnisse per E-Mail an vulnerability@audi.de. Beachten Sie dabei den Geltungsbereich und die disqualifizierenden und qualifizierenden Schwachstellen.

Bitte verwenden Sie ausschließlich den ausgewiesenen Kommunikationskanal, um uns Schwachstelleninformationen zu melden. Senden Sie uns bitte die Information in englischer oder deutscher Sprache zu. Um die Vertraulichkeit der Daten zu schützen, verschlüsseln Sie die E-Mail mit dem öffentlichen PGP-Schlüssel. Geben Sie außerdem ausreichend Details zum Nachstellen der Schwachstelle an:

  • Nennen Sie uns den Zeitpunkt, zu dem Sie die Schwachstelle entdeckt haben.
  • Bitte lassen Sie uns im Fall einer Fahrzeugschwachstelle alle verfügbaren Informationen zum Modell, der Fahrgestellnummer, des Bauteils/der Bauteile, der Teilenummer(n) und des Softwarestands zukommen.
  • Beschreiben Sie die Voraussetzungen, die erfüllt sein müssen, um die Schwachstelle ausnutzen zu können.
  • Beschreiben Sie den Zustand des getesteten Systems und falls möglich, stellen Sie uns den Code Ihres Proof of Concepts zur Verfügung.

Bitte beachten Sie, dass Fahrzeuge sicherheitstechnischen und gesetzlichen Vorschriften unterliegen. Daher kann das Beheben einer Fahrzeugschwachstelle z. B. durch notwendige Absicherungen zeitaufwändiger sein. Geben Sie uns daher bitte Zeit (Responsible Disclosure).

Geltungsbereich

Produkte und Zubehör innerhalb des Geltungsbereichs

  • IT-Systeme: Alle Hosts im Besitz der AUDI AG
  • Apps: Alle Apps, die von der AUDI AG veröffentlicht werden, z. B. myAudi App
  • Fahrzeuge, die unter der Marke Audi verkauft wurden
  • Zubehör, dass unter der Marke Audi verkauft wurde

 

Produkte und Zubehör außerhalb des Geltungsbereichs

  • Webseiten von Audi Partnern – vereinzelt verwenden Audi Partnern eine Subdomain von .audi als Adresse für Ihre Webseite. Die AUDI AG hat keine Kontrolle über diese Webseiten. Bitte kontaktieren Sie das entsprechende Autohaus, falls Sie dort eine Schwachstelle ausfindig gemacht haben.
 
 

Schwachstellen

 

Disqualifizierende Schwachstellen

<ul> <li>Schwachstellen, die sich außerhalb des Geltungsbereichs befinden</li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Denial-of-Service-Angriff (DoS / DDoS)</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Brute-Force-Angriff</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Social Engineering</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Schwachstellen ohne Auswirkung auf die Sicherheit (Ihre Schwachstelle muss eine Auswirkung auf die Sicherheit haben, um berücksichtigt zu werden.)</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">URL-Weiterleitung</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Berichte, die von automatischen Scan-Tools generiert wurden</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Fehlende TLS-Kommunikation</span><br></li> <li><span style="color: var(--colors-ui-secondary-51e5da7); font-family: inherit; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit; background-color: rgb(255, 255, 255);">Ausgelaufene TLS-Zertifikate</span><br></li> </ul> <p><br></p> <p class="sceditor-nlf"><br></p>

<p class=""><br></p> <ul> <li>Physische Zerstörung von Schlössern, Diebstahlsicherungen etc.<br></li> <li>Erlangen von Fahrzeugzugang durch physische Zerstörung<br></li> <li>Verwendung gültiger Diagnose-Funktionen</li> <li>Denial-of-Service Angriffe auf Steuergeräte oder Bussysteme mittels Überflutung</li> </ul> <p class=""><br></p> <p class="sceditor-nlf"><br></p>

 

Qualifizierende Schwachstellen

<p class=""><br></p> <div> <ul> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Injection</span><br></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Fehler in der Authentifizierung<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Cross-Site-Scripting (XSS)<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Zugriff auf Objekte ohne Berechtigungsprüfung<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Sicherheitsrelevante Fehlkonfiguration<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Enthüllung sensibler Daten<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Fehlende Zugriffskontrolle auf Funktionsebene<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Cross-Site-Request-Forgery (CSRF)<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Nutzung von Komponenten mit bekannten Schwachstellen<br></span></span></li> <li><span style="color: #333333; font-family: AudiType, sans-serif;"><span style="background-color: rgb(255, 255, 255);">Nicht validierte Umleitungen und Weiterleitungen<br></span></span></li> </ul> </div> <p class="sceditor-nlf"><br></p>

<ul> <li> <p class="" role="listitem">Schwachstellen<br>- in Firmware-Updates und kryptografische Signaturen<br>- im Identitätsmanagement<br>- in Embedded Software Frameworks<br>- in Debug-Schnittstellen<br>- in Netzwerkprotokollen<br>- in Authentifizierungsverfahren</p> <div><span style="color: #333333; font-family: AudiType, sans-serif;"><br></span></div> </li> <li> <p class="" role="listitem"><span style="color: #333333; font-family: AudiType, sans-serif;">Buffer and Stack Overflow<br></span></p> </li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Injection</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Externes Einschleusen beliebiger Daten auf fahrzeuginternen Bussystemen (CAN, LIN, Flexray etc.)</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Fahrzeugentriegelung</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Remote-Code-Ausführung</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Kompromittierung des Update-Mechanismus, z. B. Einbringen von unerlaubter Firmware in Steuergeräte</span><br></li> <li><span style="color: rgb(51, 51, 51); font-family: AudiType, sans-serif; font-size: 16px; font-style: inherit; font-variant-ligatures: inherit; font-variant-caps: inherit; font-weight: inherit;">Verstöße gegen DSGVO-Vorgaben: Datenerhebung, -nutzung, -speicherung, und Enthüllung sensibler Daten</span><br></li> </ul> <p><br></p>

Ergänzende Hinweise zum Umgang mit unseren Produkten

  • Jegliche eigenständige Aktivität im Zusammenhang mit unseren Produkten erfolgt auf eigene Gefahr.
  • Befolgen. Sie zu jeder Zeit die jeweils geltenden Gesetze.
  • Wenn Sie sich mit einem unserer Produkte oder Fahrzeuge auseinandersetzen, verwenden Sie nur ein Fahrzeug, das in Ihrem Eigentum steht oder eines, für welches Sie die Erlaubnis des Eigentümers haben, sich damit auseinanderzusetzen.
  • Starten Sie keine gezielten Attacken, die zu Denial-of-Service-Angriffen führen und vermeiden Sie generell hohe Belastungen. Wenn Sie davon ausgehen, dass unsere Server ein spezifisches Problem mit der Bewältigung von hohen Datenlasten haben, können Sie das gerne über den ausgewiesenen Kommunikationskanal mitteilen und wir versuchen Ihre Feststellungen in einer nicht-produktiven Umgebung zu reproduzieren.
  • Aktivitäten, die eine strafrechtliche Relevanz aufweisen, sind in jeglicher Form untersagt.
  • Beachten Sie, dass durch Reverse Engineering Rechte Dritter verletzt werden können, was zu rechtlichen Konsequenzen führen kann.
  • Führen Sie keine Aktivitäten durch, die Ihnen oder anderen schaden können.
  • Achten Sie darauf, dass Sie zu keiner Zeit die Straßenverkehrssicherheit gefährden und führen Sie Tests nicht auf öffentlichen Straßen und Plätzen, sondern nur an einem abgesicherten Ort mit einem stehenden Fahrzeug durch.