Cyber Security Audi Vulnerability Reporting Policy

• Bitte verwenden Sie ausschließlich den ausgewiesenen Kommunikationskanal, um uns Schwachstelleninformationen zu melden.
• Senden Sie uns die Information bitte in englischer oder deutscher Sprache zu.
• Verschlüsseln Sie die E-Mail mit dem öffentlichen PGP-Schlüssel, um die Vertraulichkeit der Daten zu schützen.
• Geben Sie ausreichend Details zum Nachstellen der Schwachstelle an:

1. Nennen Sie uns den Zeitpunkt, zu dem Sie die Schwachstelle entdeckt haben.
2. Bitte lassen Sie uns im Fall einer Fahrzeugschwachstelle alle verfügbaren Informationen zum Modell, der Fahrgestellnummer, des Bauteils/der Bauteile, der Teilenummer(n) und des Softwarestands zukommen.
3. Beschreiben Sie die Voraussetzungen, die erfüllt sein müssen, um die Schwachstelle ausnutzen zu können.
4. Beschreiben Sie den Zustand des getesteten Systems und falls möglich, stellen Sie uns den Code Ihres Proof of Concepts zur Verfügung.
5. Bitte sehen Sie davon ab, ausschließlich Ergebnisse von automatisierten Scan-Tools zu senden.

Wir werden Sie zeitnah (in der Regel innerhalb von 2 bis 3 Geschäftstagen) kontaktieren und über das weitere Vorgehen informieren.
Bitte beachten Sie, dass Fahrzeuge sicherheitstechnischen und gesetzlichen Vorschriften unterliegen. Daher kann das Beheben einer Fahrzeugschwachstelle z. B. durch notwendige Absicherungen zeitaufwändiger sein. Geben Sie uns daher bitte Zeit (Responsible Disclosure).

• Produkte und Zubehör innerhalb des Geltungsbereichs:
• IT-Systeme:
  Alle Hosts im Besitz der AUDI AG
• Apps:
  Alle Apps, die von der AUDI AG veröffentlicht werden, z. B. myAudi App
• Fahrzeuge, die unter der Marke Audi verkauft wurden
• Zubehör, dass unter der Marke Audi verkauft wurde

• Webseiten von Audi Partnern – vereinzelt verwenden Audi Partnern eine Subdomain von .audi als Adresse für Ihre Webseite. Die AUDI AG hat keine Kontrolle über diese Webseiten. Bitte kontaktieren Sie das entsprechende Autohaus, falls Sie dort eine Schwachstelle ausfindig gemacht haben.

IT Systeme und Apps:

• Schwachstellen, die sich außerhalb des Geltungsbereichs befinden
• Denial-of-Service-Angriff (DoS / DDoS)
• Brute-Force-Angriff
• Social Engineering
• Schwachstellen ohne Auswirkung auf die Sicherheit (Ihre Schwachstelle muss eine Auswirkung auf die Sicherheit haben, um berücksichtigt zu werden.)
• URL-Weiterleitung
• Berichte, die von automatischen Scan-Tools generiert wurden
• Fehlende TLS-Kommunikation
• Ausgelaufene TLS-Zertifikate

Fahrzeuge:

• Physische Zerstörung von Schlössern, Diebstahlsicherungen etc.
• Erlangen von Fahrzeugzugang durch physische Zerstörung
• Verwendung gültiger Diagnose-Funktionen
• Denial-of-Service Angriffe auf Steuergeräte oder Bussysteme mittels Überflutung

IT Systeme OWASP Top 10:

• Injection
• Fehler in der Authentifizierung
• Cross-Site-Scripting (XSS)
• Zugriff auf Objekte ohne Berechtigungsprüfung
• Sicherheitsrelevante Fehlkonfiguration
• Enthüllung sensibler Daten
• Fehlende Zugriffskontrolle auf Funktionsebene
• Cross-Site-Request-Forgery (CSRF)
• Nutzung von Komponenten mit bekannten Schwachstellen
• Nicht validierte Umleitungen und Weiterleitungen

Fahrzeuge:

• Schwachstellen
  - in Firmware-Updates und kryptografische Signaturen
  - im Identitätsmanagement
  - in Embedded Software Frameworks
  - in Debug-Schnittstellen
  - in Netzwerkprotokollen
  - in Authentifizierungsverfahren
• Buffer and Stack Overflow
• Injection
• Externes Einschleusen beliebiger Daten auf fahrzeuginternen Bussystemen (CAN, LIN, Flexray etc.)
• Fahrzeugentriegelung
• Remote-Code-Ausführung
• Kompromittierung des Update-Mechanismus, z. B. Einbringen von unerlaubter Firmware in Steuergeräte
• Verstöße gegen DSGVO-Vorgaben: Datenerhebung, -nutzung, -speicherung und Enthüllung sensibler Daten