Gefährliche Sicherheitslücke in Autoschlüsseln
Volkswagen-Konzern Gefährliche Sicherheitslücke in Autoschlüsseln
Autos von Volkswagen, Audi, Bentley und Porsche haben eine gravierende Sicherheitslücke: Computerexperten konnten Mikrochips knacken, mit denen die Fahrzeuge gestartet werden. Das könnte allerdings auch Dieben die Arbeit erleichtern. Millionen Autos sind gefährdet.
Von Patrick Illinger
Für alle Beteiligten steht erkennbar viel auf dem Spiel. Die eine Seite, das ist der deutsche Volkswagenkonzern, sieht Millionen Fahrzeuge der hauseigenen Marken bis hin zu Modellen von Audi, Bentley und Porsche gefährdet. Die andere Seite, das sind Computerwissenschaftler der Universität Birmingham, sieht die Freiheit der Wissenschaft in Gefahr. Dass die Sache ernst ist, merkt man an der Verschwiegenheit, mit der beide Parteien reagieren, sobald das Thema angesprochen wird.
Was ist geschehen? Fakt ist: Der Volkswagenkonzern hat mit einer einstweiligen Verfügung erwirkt, dass eine akademische Publikation britischer und niederländischer Computerwissenschaftler bis auf Weiteres nicht veröffentlicht werden darf. In dieser Arbeit werden Schwachstellen eines Mikrochips aufgedeckt, der in Millionen Fahrzeugen - beziehungsweise in den zugehörigen Schlüsseln - eingebaut ist, und die Nutzung der betroffenen Autos ermöglicht.
Gravierende Sicherheitslücke
Die Sicherheitslücke ist offenbar gravierend. Hartmut Hoffmann, Techniksprecher von VW, sieht jedenfalls "Millionen Bestandsfahrzeuge" gefährdet. Die Formeln in der gerichtlich untersagten Publikation könnten "geneigten Dieben ein Werkzeug an die Hand geben". Wo der fragliche Chip genau steckt, will er nicht sagen, die Angelegenheit sei "hochsensibel". Um die Sicherheitslücke auszunutzen, muss ein potenzieller Dieb jedoch kurzzeitig in den Besitz des Schlüssels kommen, was aber insbesondere bei Mietwagen und Firmenfuhrparks leicht möglich ist.
Ein vom Computerexperten Flavio Garcia aus Birmingham sowie zwei niederländischen Kollegen entdeckter Algorithmus ist offenbar in der Lage, die Software auf dem sogenannten Megamos-Chip zu umgehen oder gar zu ersetzen. Jedenfalls lässt sich die Sicherheitslücke nicht einfach mit einer verbesserten Kryptographie-Software schließen, sondern greift den Chip unmittelbar an.
Garcia selbst will zu der Angelegenheit derzeit nichts sagen. Seine Universität bedauert das Gerichtsurteil, "welches die akademische Freiheit und das Interesse der Öffentlichkeit nicht wahrt". Britischen Zeitungsberichten zufolge hat Garcia den Hersteller des Chips bereits im vergangenen Jahr über die Schwachstelle informiert, um Nachbesserungen zu ermöglichen.
7 Antworten
Hoffentlich lesen hier keine Osteuropäer mit! 😁😉
Also ich kenne da eine "Sicherheitslücke" bei VW, Seat und Audi (Porsche und andere VW-Derivate konnte ich leider noch nicht testen), die ist gravierender- nämlich das man das Zu- und Aufschliessen mit einfachsten Mitteln relativ problemlos verhindern kann. Bevor jetzt hier einer fragt- nein, ich werde nicht verraten, wie das geht 🙄 Ich hatte das schon bei meinem 🙂 angesprochen, interessiert hat es keinen- geändert hat sich auch nichts. Entdeckt hatte ich es kurz nachdem ich meinen G 6 im September 2009 bekommen habe, probiert, ob es noch geht, habe ich mit unserem Firmen-Golf BJ 2013- es geht immer noch . Ich ziehe jetzt immer am Türöffner, bevor ich vom Auto weggehe.
Sowas gibt es doch schon ewig - da reicht ein Störsender auf 434 MHz in der Nähe (315 MHz in den USA) und die Funkfernbedienungen funktionieren nicht mehr. Ich neige da fast zu sagen, dass jeder selbst Schuld ist wenn er nicht aufpasst ob auch tatsächlich zugesperrt wurde (kann man hören oder an den Blinkern auch sehen), da darauf wirklich schon seit Jahren hingewiesen wird.
Hier geht es um ein ganz anderes Thema, nämlich um Keyless Start-Systeme - es scheint gelungen Kopien von Schlüsseln anzufertigen. Nicht zu verwechseln mit den Relay-Angriffen, die schon seit einiger Zeit bekannt sind.
Das eigentlich spannende wird, wie die Hersteller mit dem Problem umgehen. Eigentlich ist den Herstellern i.d.R. alles egal, sobald das Auto mal beim Kunden ist, daher würde mich nicht wundern wenn sie erstmal sagen "wir beheben das bei neuen Modellen, wer ein sicheres Auto will soll doch einfach ein Neues kaufen". Daher hoffe ich, dass nur eine überschaubare Gnadenfrist gegeben wird und die Veröffentlichung dann stattfinden wird, um den Druck auf die Hersteller zu erhöhen. Die Softwarehersteller können auch nicht gegen 0-Day-Exploits vorgehen, sondern müssen schauen dass sie den Fehler beheben...
vg, Johannes
Das Thema ist uralt und kommt alle Jahre wieder in die Presse.
Es gibt kein wirklich sicheres Fahrzeug...ebenso keine wirsame wegfahrsperre.
Die sicherste wegfahrsperre hat zur Zeit der 7er BMW und diese hält einen Profi grade mal sieben sekunden vom wegfahren ab!
Ähnliche Themen
Zitat:
Original geschrieben von MrXY
Hier geht es um ein ganz anderes Thema, nämlich um Keyless Start-Systeme - es scheint gelungen Kopien von Schlüsseln anzufertigen.Das eigentlich spannende wird, wie die Hersteller mit dem Problem umgehen. Eigentlich ist den Herstellern i.d.R. alles egal, sobald das Auto mal beim Kunden ist, daher würde mich nicht wundern wenn sie erstmal sagen "wir beheben das bei neuen Modellen, wer ein sicheres Auto will soll doch einfach ein Neues kaufen".
vg, Johannes
ich glaube, dass in zukunft langsam ein schnick-schnack-verdruss bei den leuten einsetzen wird. Komfort wird zum sicherheitsrisiko. ...da hat man doch gar keinen bock mehr drauf.
Das mit dem Sicherheitsrisiko wird auf jeden Fall ein Punkt. Was am PC mittlerweile Alltag ist (wer sich den Windows-Updates verweigert hat früher oder später einen Trojaner am Rechner, z.B. den BKA-Trojaner) wird auch bei Autos irgendwann kommen, spätestens mit Car2Car-Kommunikation oder fernsteuerbarkeit per Internet (gestern erst dieses Video gesehen).
Ähnliches gilt für Smart-Homes, bei Heizungsanlagen und ähnlicher Haustechnik stehen mitunter auch ganz gravierende Sicherheitslücken im Raum. Wenn dann mit IPv6 auch noch jedes Gerät eine globale IP hat... Das wird auf jeden Fall eine Herausforderung der Zukunft.
vg, Johannes
Zitat:
Original geschrieben von MrXY
Das eigentlich Spannende ist, wie die Hersteller mit dem Problem umgehen. Eigentlich ist den Herstellern i.d.R. alles egal, sobald das Auto mal beim Kunden ist, daher würde mich nicht wundern wenn sie erst mal sagen "wir beheben das bei neuen Modellen, wer ein sicheres Auto will soll doch einfach ein Neues kaufen".
Das ist wenig spannend, weil es sich bzgl. der Keyless-Systeme um einen - gravierenden - Mangel handelt.
Spätestens unmittelbar vor, bzw. im Rahmen der ersten Musterklage dazu, wird der VW-Konzern zur nachbessernden Abhilfe (Rückruf) gezwungen sein.
Wird nicht billig für den Konzern, ist jedoch unbestreitbar deren Problem.