39C3: Rollstuhl-Security – Wenn ein QR-Code alle Schutzmechanismen aushebelt

Eine IT-Sicherheitsforscherin deckt auf, wie der QR-Code eines Rollstuhls zum Generalschlüssel für alle Komfortfunktionen wird.

13

(Bild: media.ccc.de, CC BY 4.0)

12:58 Uhr

Lesezeit: 6 Min.

Von

Dr. Volker Zota

Die IT-Sicherheitsforscherin und Rollstuhlnutzerin Elfy beschäftigte sich aus persönlicher Betroffenheit intensiv mit dem e-motion M25 von Alber. Was sie dabei antrieb, war nicht zuletzt die Preispolitik des Herstellers: Für Funktionen wie das Umschalten des Fahrmodus (99 Euro), ein höheres Geschwindigkeitslimit (99 Euro) oder die Fernbedienung per App (99 Euro) werden saftige Aufpreise fällig; eine spezielle Bluetooth-Fernbedienung kostet sogar bis zu 595 Euro. Elfy wollte wissen, ob diese Komfortfunktionen technisch wirklich abgesichert sind – oder ob der Zugang in Wahrheit viel einfacher ist.

Komfortfunktionen hinter Bezahlschranken

In ihrem Vortrag auf dem 39. Chaos Communication Congress (39C3) erklärte Elfy, dass sämtliche Komfort- und Premiumfunktionen des M25 – wie etwa höhere Geschwindigkeit, der Wechsel zwischen Fahrmodi oder die App-basierte Fernsteuerung – ausschließlich per Software und kostenpflichtige Freischaltungen aktiviert werden. Elfy betonte, dass die Hardware ihrer Ansicht nach durchweg identisch sei und sich die Unterschiede nur durch die Software-Freischaltung ergäben. Zur Hardware sagte sie wörtlich: „Die Hardware ist eigentlich wirklich gut, sie tut, was sie soll, und funktioniert wirklich bequem und praktisch."

Der Hersteller betone in offiziellen Dokumenten und gegenüber Behörden wie der der Food and Drug Administration (FDA) in den USA, dass sämtliche Bluetooth-Kommunikation „verschlüsselt" und damit sicher sei. In einem Schreiben an die FDA heißt es: „All wireless communications is encrypted." (Alle kabellosen Kommunikationen sind verschlüsselt.) Für Nutzer bedeute dies jedoch in erster Linie eine Preisschranke, keine tatsächliche Sicherheit, so Elfy.

QR-Code als Generalschlüssel

Kern der Sicherheitsarchitektur beim e-motion M25 ist ein 22-stelliger QR-Code („Cyber Security Key"), der gut sichtbar auf jeder Radnabe angebracht ist. Die offizielle App scannt diesen Code bei der Ersteinrichtung und leitet daraus deterministisch den AES-128-Schlüssel für die Bluetooth-Kommunikation ab. Elfy erklärte dazu: „Der AES-Key für jedes Rad ist ein QR-Code, der auf der Radnabe aufgeklebt ist." Und weiter: „Mit diesem Key kann man komplett den Rollstuhl übernehmen."

Es gebe keine zusätzliche Absicherung, etwa durch Salt, Hardwarebindung oder ein weiteres Geheimnis im Gerät. Jeder mit einer Kamera könne theoretisch den QR-Code abfotografieren und das Rad steuern. Elfy ergänzte: „Und das nennen die dann Cyber Security Key." Die genaue Methode der Schlüsselableitung und die technischen Details sind im zugehörigen GitHub-Repository dokumentiert.

Videos by heise

Verschlüsselung: AES als Feigenblatt

Technisch kommt laut Hersteller und Analyse von Elfy eine standardisierte AES-128-Verschlüsselung im CBC-Modus zum Einsatz. Elfy sagte dazu: „Das Schöne daran ist, dass die Kryptografie eigentlich in Ordnung ist. Es ist AES-128-CBC." Doch entscheidend sei: Es gibt keine Integritäts- oder Authentizitätsprüfung der Nachrichten. „Sie benutzen einfach den Standardkram, PKCS7-Padding, und das war's", so Elfy. Weder ein Message Authentication Code (MAC) noch ein Authenticated Encryption-Modus (AEAD) werde verwendet.

Das mache das System nicht nur anfällig für Replay- und Manipulationsangriffe, sondern ermögliche auch das gezielte Bit-Flipping in verschlüsselten Nachrichten. Auch Initialisierungsvektoren würden nicht für jede Nachricht neu generiert. Elfy sagte: „An mehreren Stellen hatte ich das Gefühl, sie kennen die Grundlagen, aber haben dann aufgehört, über Probleme nachzudenken." Die Implementierung der Verschlüsselung ist offen einsehbar.

Protokoll und Reverse Engineering

Das proprietäre Protokoll zwischen App, Fernbedienung und Antrieb sei laut Elfy überraschend einfach aufgebaut. Im Vortrag sagte sie: „In der Theorie ist das wirklich keine komplizierte Sache. Es gab ein paar lustige Designentscheidungen, aber es ist grundlegendes Zeug. Es ist nicht kompliziert." Nachrichten enthalten Service-IDs, Parameter und Nutzdaten. Die gesamte Struktur hat Elfy auf GitHub dokumentiert.

Für die Analyse habe Elfy die Android-App dekompiliert, Firmware und Traffic mitgeschnitten und daraus ein Python-Toolkit erstellt. Elfy berichtete: „Ich habe die Fernbedienung ersetzt, das sind mehrere hundert Zeilen Python-Code, die mit meinem Rollstuhlantrieb sprechen. Ich konnte die Parkfunktion ersetzen. Ich konnte einige Wartungsfunktionen ersetzen. Ich habe den Dealer Mode ersetzt, und dieser Selbstfahr-Modus kann auch komplett gemacht werden."

Elfy wies darauf hin, dass sich die teuren Fernbedienungen in der Hardware kaum von günstigeren Varianten unterscheiden: „Die Hardware dieser Fernbedienung ist nahezu identisch. Die teurere Variante ist ein Boolean-Flag in der Konfigurations-Software des Herstellers. Und sie vermarkten das als zwei verschiedene Produkte."

Lesen Sie auch

39C3: KI, GTA V und Quantencomputer - Kunstprojekte auf dem Hackerkongress

39C3: CCC-Hacker fordern Bundesdatensicherungsspiele gegen Ransomware-Albträume

39C3: Ein Jahr elektronische Patientenakte - hat sich die Lage verbessert?

39C3: Wenn Moleküle zu kryptografischen Funktionen werden

39C3: Kampf gegen den gläsernen Menschen: Kenias Bevölkerung kippt Datensammlung

Software-Paywalls und Händlerfunktionen

Die Premiumfeatures würden rein softwareseitig durch die App freigeschaltet. Elfy sagte dazu: „Die Bezahlung schaltet nur die grafischen Benutzeroberflächen in der App frei. Am Antrieb selbst ändert sich nichts. Es werden nur bestimmte Teile der Anwendung sichtbar, die ohne Bezahlung nicht sichtbar sind."

Auch Händler- und Wartungsfunktionen seien nicht durch Hardware geschützt. Elfy erklärte: „Man muss das Passwort kennen. Es war nicht besonders gut versteckt. Das Passwort war in einigen PDFs im Internet. Aber ich habe das Passwort im Klartext aus der Android-App bekommen."

Universelle Schwachstelle mit weitreichenden Folgen

Elfy wies darauf hin, dass diese Schwachstelle alle M25-Systeme betreffe: „Ich habe auf diesem Kongress schon zwei oder drei andere außer meinem gesehen. Also scannt bitte nicht die QR-Codes anderer Leute. Denn ihr könntet Schaden anrichten."

Die Verschlüsselung werde so zur reinen Formsache, während die Zugangskontrolle auf einem offen einsehbaren Sticker beruht. Elfy betonte, dass AES-128 nur so lange sicher sei, wie der Schlüssel geheim bleibe – im Falle des M25 sei der Schlüssel aber ganz offen als QR-Code auf dem Rad sichtbar.

Kritischer Blick auf Medizintechnik

Elfys Vortrag machte deutlich, dass starke Algorithmen allein keine Sicherheit garantieren. Ohne durchdachtes Schlüsselmanagement und robuste Protokolle bleibe die Kontrolle über das eigene Gerät letztlich beim Hersteller – es sei denn, Nutzer greifen selbst zu Werkzeugen wie Elfys offenen Python-Toolkit. Die vollständige Analyse, Skripte und Dokumentation finden sich ebenfalls im GitHub-Repository.