Sicherheitslücke bei Fernbedienungen
Hallo Ihr,
Das KeylessGo nicht ganz ungefährlich ist, weil sich die Reicheweite der Schlüssel mit unauffällig in Koffern verpackten Geräten verlängern läßt, ist ja nicht neu.
Neu ist aber, das sich auch der Code des Schlüssels abspeichern, und später verwenden lässt.
Dann gibt es also nicht mal mehr einen Typen der seltsam um einen herum schleicht, mit einem Komplizen in der Nähe des Autos, und dann ist das Auto weg, sondern das Auto ist einfach so weg..
Ich dachte das interessiert vielleicht den einen oder anderen.
http://www.sueddeutsche.de/.../...luecke-bei-millionen-autos-1.3116841
http://www.sueddeutsche.de/.../...icherheitsluecke-betroffen-1.3117060
Beste Antwort im Thema
Zitat:
@birscherl schrieb am 11. August 2016 um 22:52:30 Uhr:
Wo genau bin ich denn deiner Meinung nach uninformiert?(Beiträge nachbearbeiten, nachdem eine anderer schon darauf geantwortet hat, ist kein guter Stil. Steh doch zu deiner Aussage …)
Da haben sich unsere Postings leider überschnitten, war keine Absicht.
Natürlich stehe ich zu meiner Aussage. Bei dem Test waren die Schlüsselcodes von VW am leichtesten zu bestimmen. Hintergrund ist wohl, dass VW pro Modellgeneration den gleichen Masterkey benutzt, aus dem dann leicht der dazugehörige Schlüsselcode ermittelt werden. So muss das Funksignal nur einmal abgehört werden, um das Fahrzeug zu öffnen. Dies war VW auch schon seit Jahren bekannt, nur hatten sie versucht die Veröffentlichung mit Klagen zu verhindern.
Natürlich haben andere Hersteller ähnliche Probleme, nur muss dort das Signal mehrfahr abgehört werden. Dies erschwert natürlich das Hacken des Codes, macht es aber natürlich nicht unmöglich.
So gesehen stehe ich zu meiner Aussage, dass bei VW ein Desaster nach dem nächsten rauskommt und der Konzern wie auch bei Dieselaffäre sich nicht in der Verantwortung sieht. Meiner Meinung nach ist dies an Überheblichkeit und Ignoranz kaum noch zu überbieten.
20 Antworten
Zitat:
@birscherl schrieb am 11. August 2016 um 22:52:30 Uhr:
Wo genau bin ich denn deiner Meinung nach uninformiert?(Beiträge nachbearbeiten, nachdem eine anderer schon darauf geantwortet hat, ist kein guter Stil. Steh doch zu deiner Aussage …)
Da haben sich unsere Postings leider überschnitten, war keine Absicht.
Natürlich stehe ich zu meiner Aussage. Bei dem Test waren die Schlüsselcodes von VW am leichtesten zu bestimmen. Hintergrund ist wohl, dass VW pro Modellgeneration den gleichen Masterkey benutzt, aus dem dann leicht der dazugehörige Schlüsselcode ermittelt werden. So muss das Funksignal nur einmal abgehört werden, um das Fahrzeug zu öffnen. Dies war VW auch schon seit Jahren bekannt, nur hatten sie versucht die Veröffentlichung mit Klagen zu verhindern.
Natürlich haben andere Hersteller ähnliche Probleme, nur muss dort das Signal mehrfahr abgehört werden. Dies erschwert natürlich das Hacken des Codes, macht es aber natürlich nicht unmöglich.
So gesehen stehe ich zu meiner Aussage, dass bei VW ein Desaster nach dem nächsten rauskommt und der Konzern wie auch bei Dieselaffäre sich nicht in der Verantwortung sieht. Meiner Meinung nach ist dies an Überheblichkeit und Ignoranz kaum noch zu überbieten.
Zitat:
@birscherl schrieb am 11. August 2016 um 22:43:05 Uhr[/url]:
Die Schließsysteme werden ... zugekauft ...
Klar werden die zugekauft, und da wird dann nach dem "besten" Angebot geschaut. Nur leider sind die Leute, die für die Spezifikation und den Einkauf des Systems zuständig sind, heutzutage leider allzuoft nur mit kaufmännischem "Background" ausgestattet. Garbage in, Garbage out...
Es könnte - aus meiner Sicht - daran liegen. dass ein fest angestellter Ingenieur mit dem nötigen Wissen teurer ist, als der Leiharbeiter beim Zulieferer. Letzterer kann garnicht anders, weil er genau für die drei Handgriffe bezahlt wird, auch wenn ein Vierter das System auf ein anderes Qualitätsniveau heben würde. Leider sind in der Autobranche (und auch anderswo) die Bleistiftspitzer am Drücker und nicht mehr die Leute mit Wissen und Verstand. Wehe, eine funktionierende Lösung kostet einen Zehntel Cent mehr pro Auto.
Das Problem zieht sich durch fast die ganze Industrie...
Zitat:
@Nomen_est_Omen schrieb am 12. August 2016 um 07:38:37 Uhr:
Zitat:
@birscherl schrieb am 11. August 2016 um 22:43:05 Uhr[/url]:
Die Schließsysteme werden ... zugekauft ...
...Leider sind in der Autobranche (und auch anderswo) die Bleistiftspitzer am Drücker und nicht mehr die Leute mit Wissen und Verstand. Wehe, eine funktionierende Lösung kostet einen Zehntel Cent mehr pro Auto.Das Problem zieht sich durch fast die ganze Industrie...
Aber diese zehntel Cent summieren sich schnell bei tausenden von Teilen schnell auf ein paar tausend Euro. Und diesen Mehrpreis ist dann leider keiner mehr bereit zu zahlen. Somit können wir uns an die eigene Nase fassen. Aber dies ist ein anderes Thema und betrifft nicht nur die Automobilindustrie.
Nunja, die Sicherheit der mechanischen Schlösser im Auto wurde auch irgendwann mal ein Thema und die Wegfahrsperren wurden zur Vorschrift. In Zukunft sollte es daher Vorschrift werden, dass die elektronischen Systeme (z.B. im Auto) sicher sein müssen (mit Rückrufpflicht des Herstellers). Da heutzutage nicht nur Autos elektronisch gesichert werden, ist das der mögliche Pfad, den ich sehe, also eine Art Produkthaftung aufgrund bekannter massenhafter Einbruch-/Diebstahls-/Missbrauchsgefahr.
Das Problem wäre vermutlich so gar keines, wenn die Systeme updatefähig gebaut worden wären. Da kein System unendlich lange sicher sein kann, ist es nur eine Frage der Zeit, wann das Update nötig wird. Systeme, die massenhaft eingesetzt werden, haben nunmal eine extreme Angriffsfläche.
Meine Konsequenz:
Etwas mehr Sicherheit muss man im Moment selber nachrüsten. Das hat den Vorteil, dass die individuelle Angriffsfläche dem "Normalkriminellen" unbekannt ist und wegen einer "normalen Sache" nicht der individuelle Analyseaufwand betrieben wird.
Ähnliche Themen
Das Öffnen kann man mit dieser neu entdeckten Methode wohl nicht verhindern.
Aber das Starten könnte man doch erschweren.
Als Bastler habe ich da folgende Idee im Hinterkopf.
Belegung der OBD Buchse ändern. Habe ich schon mehrfach im Netz gelesen.
Nachteil: die Werkstatt brauch dann einen Adapterstecker den man dazubasteln muss.
Oder die originale OBD Buchse an einen anderen Ort verbauen.
An den Originalen Platz kommt dann eine gefakte Buchse mit einem kl. Hochspannungsgenerator.
Erkennt die Buchse eine Stromentnahme durch den Adapter der Räuber startet der Generator und
gibt eine 400 V AC Spannung an die Pins des Can Busses.
Dann ist das Gerät der Räuber wenigstens auch gleich kaputt.
Sicherlich kann man Missbrauch nie ausschließen, aber man kann ihn so teuer machen, dass es sich nur für gut organisierte Banden lohnt und auch nur bei Luxuskarossen jünger als 3 Jahre. Das wäre ohne Kostenexplosion möglich und würde lohnende Objekte doch stark einschränken.
Aber ich glaube, dass ich mich wiederhole wenn ich sage, dass die Auto einen Sch*** interessiert, so lange sie ihren Mist verkaufen können. Warum auf 1% Gewinn verzichten?
Letztendlich hat es aber der Kunde selbst in der Hand, versteht aber die freie Marktwirtschaft nicht. Das sehe ich immer wieder in meiner Nachbarschaft: Da wird sich über Betrügereien und großkotzigem Umgang mit dem Kunden, einer Marke beklagt Doch schon ein paar Monate später steht das neue Modell des selben Herstellers auf dem Hof, um gleich weiter zu schimpfen...
Muss ich das verstehen?