Habe eine ´Sicherheitslücke´ in der MyDacia App gefunden

[Sause]

Hallo Leutz,
ich habe es hier eventuell schon irwo im Forum geschrieben, das es eine ´Sicherheitslücke´ in der App gibt.
Ich habe herausgefunden, das, wenn man eine fremde, existierenden FIN, welche man einfach so beim spazieren gehen, oder im vorbeigehen an einem fremdem Spring hinter der Windschutzscheibe sehen und in seiner App eingeben kann, einige persönliche Daten zu dem jeweiligen Spring auslesen kann.
Das sind u.a. Daten zur Ausstattung des Spring u.s.w. und *ganz wichtig* den Radio-Code . Gerade dieser Radio-Code sollten meiner Meinung nach ausschließlich für den Besitzer zugänglich sein und nicht für ´Leute´, mit genug krimineller Energie, die das Navi entwenden und mit dem Code ´veräußern´ wollen.
Deswegen habe ich seinerzeit im Google PlayStore zu dieser App in der Rezension auch nur einen Stern vergeben (guggst Du PlayStore MyDacia).

Der Datenschutzbeauftrage von Dacia Deutschland hat sich daraufhin auch bei mir per Mail gemeldet. Ich erfuhr darin, das man diese Lücke nachgestellt, bestätigt hat und bedauert. Dacia Deutschland selber kann hierin leider nichts unternehmen, aber hat dies an Renault Frankreich weiter geleitet. Die wollen sich darum umgehend kümmern, das diese Lücke behoben wird (wann auch immer dies sein wird und wie immer das auch aussehen wird )
In dieser Angelegenheit kann ich nur alle raten, die FIN hinter der Windschutzscheibe abzudecken, zumindest solange bis es ein relevantes Update der App gibt, die dieses unterbindet.

In diesem Zuge habe ich auch gleich etwas weiter gedacht : Kann ein Fremder mit der bloßen Eingabe der FIN auch meine Klimatisierung und den Ladevorgang Steuern/unterbrechen

Ich habe dies mit meinem Freund aus diesem Forum versucht nachzustellen und Gott sei Dank, ist dies so ohne weiteres nicht möglich .
Dazu muss man mit dem anderen ´Gerät´ entweder die Mailadresse und das Passwort der einstigen Registrierung kennen oder das Fahrzeug synchronisieren (also im Fahrzeug sein).

Da gibt es es dann keine Probleme.

Das wollte ich weitergeben.

Gerne lese ich Eure Antworten

LG Sause

 

[Dracula]

Du brauchst die FIN nicht einmal. Es gibt eine Google App, du musst nur den Aufkleber am Media Nav scannen, das weiss die deutsche Vertretung scheinbar nicht.

Dacia radio code calculator – Apps bei Google Play

Diese Anwendung können Sie mit dem Originalhersteller Sicherheitscode zur Verfügung stellen

www.google.com

 

[nidom]

Das Navi ist so rückständig, das klaut heute eh keiner mehr

 

[Gast995]

Du brauchst die FIN nicht einmal. Es gibt eine Google App, du musst nur den Aufkleber am Media Nav scannen, das weiss die deutsche Vertretung scheinbar nicht.

Dacia radio code calculator – Apps bei Google Play

Diese Anwendung können Sie mit dem Originalhersteller Sicherheitscode zur Verfügung stellen

www.google.com

Was passiert wenn du den Code änderst wird er dann auch angezeigt
Welche Ausstattung etc. ist mir egal kann ja jeder sehen und wissen
In Foren Facebook werden mehr Daten preisgegeben

 

[mcvcfix]

ich hatte das auch schon bemerkt und vor Monaten an den Dacia Service weitergegeben...obs hilft?
jeder kann sich als Erika Mustermann registrieren mit ner kostenlosen email vom woweiswas-Provider und mit der Vorführwage-VIN oder der des schon ewig gehassten Nachbarns dessen Radio-PIN rausfinden...
genauso hatte ich denen gemeldet das im Rettungsdatenblatt ein Übersetzungsfehler ist : wo im ZOE-Rettungsdatenblatt "torch" (=Fackel) noch im Zusammenhang richtig mit "Löschen einer brennenden Antriebsbatterie" bennannt wird ist fälschlich beim Spring genauso wie beim E-Twingo von "Auslöschen einer Traktionsbatterieleuchte" die Rede...
internationale und hybride Organisationen mit outgesourcten Teilfunktionen haben offenbar Probleme mit der schnellen und Informationsweiterleitung und Maßnahmenverfolgung.
progmatische Abhilfe zum Ausgangsproblem:
einfach die VIN vorne an der Windschutzscheibenwurzel von innen abkleben ähnlich wie manche es mit der Laptopkamera machen.

 

[Springliese]

Jetzt mal eine ganz doofe Frage: Geht das tatsächlich mit einer FIN, die schon mit einem Account verknüpft ist bzw. evtl. sogar schon synchronisiert?

 

[Der Paul]

Das habe ich schon vor 2 Monaten an die Verbraucherzentrale in NRW Köln übertragen.
Ist auch schon beim Dacia APPThread so hinterlegt gewesen.

 

[Bully66]

Jetzt mal eine ganz doofe Frage:

Keine doofe Frage Mit einer gesyncten FIN kann der "Feind" immer noch Deinen Radio-Code auslesen. Er kann aber nicht in den Ladevorgang eingreifen, die Klimatisierung starten etc.. Er kann auch nicht Deine bevorzugte Werkstatt ändern oder Deinen Wartungsplan bzw. Deine Kilometer sehen.

Wenn Du die FIN mit einem anderen Account als dem gesyncten verknüpfst, siehst Du die Informationen die auch schon während der Wartezeit im Keller sichtbar waren und mehr kannst Du auch nicht machen.

Hast Du allerdings eine Mail-Adresse (z.B. springliese@gmail.com) und ein "sicheres Passwort" (z.B. 123456) und jemand meldet sich mit den Daten auf seinem Handy an, dann kann er auch ohne Sync den Spring fernsteuern. Also so, wie man sich mit einem zweiten Mobiltelefon verbinden kann.

 

[Dracula]

Der Radio Code ist ein fester Wert, nur durch den Hersteller veränderbar.
Ich würde den Media Klau aber nicht als des grösste Sicherheitsrisiko sehen. Es ist viel einfacher das ganze Auto
auf eine gedeckte Pritsche zu laden, und erst in . . . . . kistan wieder auszuladen. Keinerlei Alarmanlage eingebaut.
Und leider bis . . . . . kistan wahrscheinlich nicht mehr ortbar, da jeder Dieb zuerst den Schalter drücken wird,
sobald er den Strom überbrückt hat.
Besonders wenn der Spritpreis weiter steigt, werden kleine E-Autos die man auch noch an der heimischen Steckdose
laden kann, in ärmeren Ländern beliebtes Diebesgut. Denn den Leuten ist es egal ob er 2 oder 20 Stunden lädt.
Die Absicherung des Ortungsschalters sehe ich als erste Priorität gegen den Klau.
Das sehe ich allgemein, bei mir stehen alle Autos in der Garage, aber man muss dabei auch an alle anderen Käufer
denken, die ihr Auto auf der Strasse abstellen müssen.

 

[Gast995]

Der Radio Code ist ein fester Wert, nur durch den Hersteller veränderbar.
Ich würde den Media Klau aber nicht als des grösste Sicherheitsrisiko sehen. Es ist viel einfacher das ganze Auto
auf eine gedeckte Pritsche zu laden, und erst in . . . . . kistan wieder auszuladen. Keinerlei Alarmanlage eingebaut.
Und leider bis . . . . . kistan wahrscheinlich nicht mehr ortbar, da jeder Dieb zuerst den Schalter drücken wird,
sobald er den Strom überbrückt hat.
Besonders wenn der Spritpreis weiter steigt, werden kleine E-Autos die man auch noch an der heimischen Steckdose
laden kann, in ärmeren Ländern beliebtes Diebesgut. Denn den Leuten ist es egal ob er 2 oder 20 Stunden lädt.
Die Absicherung des Ortungsschalters sehe ich als erste Priorität gegen den Klau.
Das sehe ich allgemein, bei mir stehen alle Autos in der Garage, aber man muss dabei auch an alle anderen Käufer
denken, die ihr Auto auf der Strasse abstellen müssen.

Kann man nicht einen Chip irgendwie verbauen den so schnell keiner findet ??
Hat mal gemacht mit navi s sind in China aufgetaucht , also nicht um die Ecke ok da holste den nicht so einfach wieder

 

[Gast995]

Der Radio Code ist ein fester Wert, nur durch den Hersteller veränderbar.
Ich würde den Media Klau aber nicht als des grösste Sicherheitsrisiko sehen. Es ist viel einfacher das ganze Auto
auf eine gedeckte Pritsche zu laden, und erst in . . . . . kistan wieder auszuladen. Keinerlei Alarmanlage eingebaut.
Und leider bis . . . . . kistan wahrscheinlich nicht mehr ortbar, da jeder Dieb zuerst den Schalter drücken wird,
sobald er den Strom überbrückt hat.
Besonders wenn der Spritpreis weiter steigt, werden kleine E-Autos die man auch noch an der heimischen Steckdose
laden kann, in ärmeren Ländern beliebtes Diebesgut. Denn den Leuten ist es egal ob er 2 oder 20 Stunden lädt.
Die Absicherung des Ortungsschalters sehe ich als erste Priorität gegen den Klau.
Das sehe ich allgemein, bei mir stehen alle Autos in der Garage, aber man muss dabei auch an alle anderen Käufer
denken, die ihr Auto auf der Strasse abstellen müssen.

Oh da wirst wohl leider recht haben mit dem klauen und nicht finden

 

[christian]

Das ist dann aber wohl das Grundproblem des Automobildiebstahls. Kleiner Tip zum Verbrecher ärgern: Versteckt doch einfach einen Apple Air Tag irgendwo im Auto. Die sind lange zu orten, kosten nicht viel und superklein.

 

[Dracula]

Die reichen gerade mal um den Kater zu finden, wenn er mal wieder auf Brautschau ist.

 

[christian]

Da empfehle ich etracker. AirTags orten so Einiges

 

[Dracula]

Ich werde die Ortung ausschaltbar machen, inklusive der Led.
Der Schalter soll nur noch funktionieren wenn aussen ein RFID Chip angelegt ist.

 

[Uwe1980]

Keine Angst Leute,
Das ist bei allen Dacias und Renaults über die App so. Also nicht nur Spring sonder auch Logan, Megane, Clio etc.

 

[Rentner1955]

Demnächst am Nummer 1 bei Diebstahl nicht mehr fette SUV ,sondern der Spring ,macht ja auch Sinn .
Bei mir steht er aus Angst jetzt schon neben meinem Bett . Leute ,bleibt doch mal auf dem Teppich . Es werden nur hochwertige Autos gestohlen .
Selbst in Afrika und im Ostblock traut sich damit keiner auf die Straße ,unter dem Stern geht da gar nichts

 

[CV-Skipper]

Das Risiko für den Dieb ist bei einem billigen Spring das selbe wie bei einer teuren Nobelkarosse.
Würde da auch keine große Gefahr für unsere "Kleinen" sehen.

 

[Rudibee]

Das Risiko liegt in den Ersatzteilpreisen und -verfügbarkeit. Da könnte so mancher Spring als Ersatzteilspender verschwinden. Einmal zerlegt, sind die Teile nicht mehr zu orten.

 

[bubu56]

@Sause Hat sich nach dem 17.01.2022, Deinem Eröffnungsbeitrag hier, weder Renault noch Dacia zur Behebung der Lücke gemeldet?