Neben der Angreifbarkeit heutiger KFZ-Schlüssel, sogenannter KFZ-Keys, zeigen wir in diesem Betrag kurz Angriffsvarianten auf, gehen auf die unserer Meinung nach völlig überzogene Panikmache des ADAC ein und erklären vor allem, wie Autobesitzer kostengünstig einen bestmöglichen Diebstahl-Schutz erlangen.
2015 haben wir bereits den KFZ-Key eines alten Mercedes C180 gehackt. (Link zum Video) Daraufhin erhielten wir von BMW ein Testfahrzeug, um zu testen, ob hier ebenfalls die gleiche Schwachstelle der KFZ-Keys ausgenutzt werden kann – auch hier existiert diese Schwachstelle.
Mit der Zeit und viele “geöffnete” Fahrzeuge später, kam immer wieder die Frage auf, ob dies auch bei “Premiummarken” funktionieren würde, daher entschieden wir uns für einen Ferrari als würdigen KFZ-Vertreter aus dem 6-stelligen Kostenbereich. Das Video hierzu haben wir als Goodie am Ende des Blogs hinzugefügt;-).
Besonderer Dank an dieser Stelle an Denis Maier, der uns stets im Bereich KFZ unterstützt, diesmal mit einem Ferrari 458 Italia!
Die Markteinführung der KFZ Funkschlüssels (KFZ-Keys) war ca. 1993 durch Siemens Automobiltechnik – heute eher bekannt als Continental. PASE, das Passive Start and Entry System (Continental), oder vielleicht vielen eher bekannt als Keyless Go (Mercedes Benz), stammt von 1999. Ich möchte an dieser Stelle anmerken, dass PASE, also Keyless Go, auch 2017 noch als “High Tech Goodie” gehandhabt wird. Im November 2016 habe ich einen neuen Mercedes Benz bestellt und vor knapp 4 Wochen beim Händler abgeholt – schockierenderweise musste ich feststellen, dass Keyless Go, also mehr Sicherheit, auch hier extra kosten sollte – für meinen unsicheren Funkschlüssel zahle ich jedoch keinen Aufpreis.
Unserer Meinung nach darf Sicherheit in Produkten nicht extra verkauft werden, sondern muss zum Standard gehören; insbesondere dann, wenn Technologien schon seit Jahren im Einsatz sein könnten.
Zunächst müssen wir die Funktionsweise eines klassischen Funk-Autoschlüssel (KFZ-Keys) nachvollziehen (nicht Keyless Go). Autoschlüssel nutzen ein Rolling Key System, das bedeutet, dass eine fest definierte Anzahl an möglichen Schlüsseln auf dem Schlüssel gespeichert ist. Jedes Mal, wenn man drückt, wird also der jeweils gültige Schlüssel gesendet und das “System” rolliert weiter zum nächsten Schlüssel. Es gibt nun drei Arten von möglichen Angriffen:
Als PoC haben wir einen Replay Angriff und einen Bruteforce Angriff. Zunächst jedoch noch etwas Theorie. Funkschlüssel arbeiten auf verschiedenen Frequenzen, 433,92 MHz, 315 MHz und teils auch auf 868 MHz. Dies ist Hersteller und GEO abhängig; 433,92 MHz ist der Standard für EU Fahrzeuge. Es kommen auch teils unterschiedliche Modulationsarten zum Einsatz, bei unserem getesteten Schlüssel war dies jedoch OK.
Nun starten wir unseren Sniffer, dieser fängt das Signal roh 1:1 auf und speichert es in einer Datei.Legen wir den Schlüssel eingewickelt in eine alufolienverkleidete Kühlbox, ist dieser gut vor Interferenzsignalen geschützt. Hierzu habe ich ein kleines Loch für das USB-Kabel meines Receivers gebohrt, um dieses dann an mein MacBook anzuschließen. Drückt man nun auf den Schlüssel (verklebt an der Innenwand mit einem Metallstab durch ein zweites Loch), erhalten wir weitestgehend störungsfreie Signale.
Spielen wir dieses Signal nun ab, öffnet sich der Ferrari einmalig.
Bis hier hin ist der Angriff noch nicht realistisch einsetzbar.
Jamming bezeichnet das Unterbrechen von Signalen durch Störsignale. Da wir nun in unserem “Labor” ein nahezu sauberes Signal aufzeichnen konnten, wissen wir genau, welche Bandbreite das Signal nutzt. Da Sender und Empfänger oft, nett gesagt, günstige Geräte sind, ist die Empfangs- sowie Sendeleistung oft bescheiden. Daher ist der Empfang oft etwas “großzügiger”, damit z. B. aufgrund von Temperaturschwankungen das Signal des Schlüssels noch empfangen und richtig demoduliert werden kann. Im ersten Schritt benötigen wir also ein Störsignal, hierzu habe ich mich für den Song “Rude Boy” von Rihanna entschieden – eigentlich nicht mein Musikgeschmack, lief aber gerade im Radio, als ich die Funkwellen eines regionalen Radiosenders aufgezeichnet habe; danke BigFM für das Störsignal :).
Spaß beiseite; nachdem ich nun das Signal habe, spiele ich dieses auf einer Randfrequenz von 433,92 MHz ab, sodass dieses nahe neben dem des Schlüssels liegt. 433,9191 MHz funktionierte beim Ferrari gut. Spiele ich dieses nun mit einer ordentlichen Gain in einer Schleife ab und drücke auf den KFZ-Keys meines Ferraris, passiert nichts.
Perfekt, dass “Schließen” Signal des Ferraris ist nun unterbrochen.
Nachdem wir nun ein sauberes Signal aufgezeichnet und einen Jammer haben, benötigen wir natürlich noch einen Filter, der unser Jamming auch beim Aufzeichnen filtert. Hierzu habe ich einen simplen Low Pass Filter (ein Filter, welcher Frequenzen oberhalb eines definierten Frequenz-Schwellenwerts wegnimmt) geschrieben. Lassen wir nun den Jammer laufen und unser Opfer parkt seinen Ferrari im Parkhaus, schließt sich sein Fahrzeug nicht mehr ab. Bemerkt das Opfer den Angriff, dann schließt er evtl. die Tür ab, aber drehen Sie sich jedes Mal nach Ihrem Fahrzeug um?
Gesetzt den Fall, Sie haben sich umgedreht und abgeschlossen, kommen Sie nach Ihrem Einkauf zurück und drücken auf Öffnen? Wieder passiert nichts, denn jetzt haben wir das Signal aufgezeichnet und das gesendete Signal am Ferrari – auch wenn Sie wohl eher nicht mit einem Ferrari zum Wocheneinkauf fahren – unterbrochen. Sie schließen also die Tür auf und fahren weg. Der Angreifer fährt Ihnen hinterher und wartet, nun öffnen wir mit dem aufgezeichneten Signal Ihren Ferrari.
Ja, aber er steht doch in meiner Garage?
Super, denn diese wird wahrscheinlich mit einem 868 MHz Funkempfänger ausgestattet sein, damit sie sich per Fernbedienung öffnen lässt, oder?
Im Zuge dessen mussten wir zu unserem Erstaunen feststellen, dass der ADAC Keyless Go als unsicher bezeichnet und dies mit Videos und einer stets gepflegten Liste an KFZ untermauert, welche durch das Szenario des ADAC geöffnet und gestartet werden. Gerne möchten wir an dieser Stelle das Verfahren etwas näher erläutern.
Durch eine Signalweiterleitung (ähnlich wie ein W-LAN Repeater), ist es möglich, das Signal des Schlüssels zu verlängern. Hierdurch ist es tatsächlich möglich, das Auto zu öffnen und anzulassen. Das Verfahren sei nach dem ADAC unsicherer, als der traditionelle Funkschlüssel.
Das Opfer sitzt im Café und der Täter sitzt maximal 1,5 m entfernt – sonst reißt das Signal ab. Je nach Distanz muss ein weiterer Täter nun zur Signalverlängerung bereitstehen und dieses am geparkten Fahrzeug entgegennehmen. Der Täter muss eine extreme Nähe zum Opfer haben und es wird ein zweiter Täter benötigt.
Im Gegensatz dazu braucht man beim Jam & Replay Angriff auf alte Funkschlüssel nur einmalig ein Signal und muss nicht in der direkten Nähe des Opfers sein, denn hier reichen sogar teils 40m im Parkhaus. Auch nachts lässt sich das Fahrzeug dann einfach aus der Garage des Opfers stehlen; oft gerade dann, wenn diese ebenfalls per Funkfernbedienung geöffnet wird. Das Szenario ist deutlich bedrohlicher, denn hier kann das Opfer sich tatsächlich nur schützen, indem der klassische Funkschlüssel nicht mehr genutzt würde. Zudem funktionieren solche Angriffe auch ohne Schlüssel durch Bruteforce Angriffe und es wird in beiden Fällen nur ein Täter benötigt.
Keyless Go hingegen lässt sich zum jetzigen Zeitpunkt weder durch Brute Force erfolgreich angreifen, noch lässt sich ein klassischer Replay Angriff durchführen – und einen Schutz gibt es auch, für 8,99 € auf Amazon (Link unten); diesen Hinweis lässt die Presse und der ADAC jedoch weg – Dramatik Erzeugung, wie ich finde. Befindet sich der Keyless Go Schlüssel in einem solchen Etui, ist der Angriff des ADAC’s erfolgreich abgewehrt!
Wer also meinen Mercedes öffnen will: Nur zu, ich habe den Aufpreis nicht bezahlt, da ich die Automobilindustrie an dieser Stelle nicht fördern werde.
