VW-Wegfahrsperre: Volkswagen-Hack endlich veröffentlicht

2012 deckten Sicherheitsforscher diverse Schwächen an einem der meistgenutzten Wegfahrsperren-Transpondersysteme für Autos auf. VW versuchte, die Veröffentlichung vor Gericht zu verhindern. Mit minimalen Änderungen wurde das Paper jetzt veröffentlicht.

In Pocket speichern vorlesen Druckansicht 132 Kommentare lesen
Volkswagen

(Bild: dpa, Uli Deck/Archiv)

Lesezeit: 6 Min.
Von
  • Clemens Gleich
Inhaltsverzeichnis

Drei Forscher von den Universitäten Nijmegen (Niederlande) und Birmingham (UK) widmeten sich 2012 Motorolas Transpondersystem Megamos, das in zwei untersuchten Varianten in einer Vielzahl von Autos verschiedenster Hersteller (siehe Liste unten) verbaut wurde, um die Sicherheit vor Diebstahl zu erhöhen. Die drei anderen weit verbreiteten Systeme DST40, Keeloq und Hitag2 waren zu diesem Zeitpunkt schon mit angreifbaren Schwächen bekannt, es fehlte nur noch Megamos Crypto, über das zu diesem Zeitpunkt sehr wenig bekannt war. Unter den Autoherstellern galt es als sehr sicher, die Transponder als nicht klonbar. Das Forschungsteam deckte jedoch deutliche Schwächen auf.

Mit den Ergebnissen traten die Forscher im November 2012 an die betroffenen Autohersteller heran. Volkswagen klagte vor einem britischen Gericht gegen die geplante Veröffentlichung 9 Monate später. Sie sicherten sich damit die ständige Verbindung zur Schwäche des Zulieferersystems, die seitdem unter Varianten von "Volkswagen-Hack" läuft. Es handelt sich jedoch nicht um ein konkretes Problem des VW-Konzerns, sondern die Befunde betreffen alle Hersteller, die Megamos in ihren Wegfahrsperren verwenden.

Bei der Usenix-Konferenz in Washington vom 14. bis zum 16. August soll der Artikel nun endlich präsentiert werden – und steht vorab auch schon online zum Abruf bereit.

Megamos-Transponder werden ab Werk in einem kleinen Glaszylinder ausgeliefert und bei der klassischen Wegfahrsperre am mechanischen Schloss meistens im Plastik des Schlüsselgriffs vergossen. Im Zündschloss des Autos sitzt eine Ringantenne, die den Transponder mit Energie versorgt und über die sich der Schlüssel über Funk mit dem Gegenpart in der Zündbox des Autos darauf einigt, ob dieser Schlüssel autorisiert ist. Zündbox und Transponder teilen sich hierzu einen geheimen Schlüssel von 96 Bit Länge. Der Schlüssel liegt im Transponder in einem Speicherbereich, der von außen nicht lesbar ist, wohl aber schreibbar, wenn dem Schreibgerät die 32 Bit lange Pin des Transponders bekannt ist, die ebenfalls im write-only-Bereich liegt.

Hier setzt ein Angriff der Forscher an, denn bei vielen untersuchten Autos verwendeten die Hersteller eine Standard-Pin über alle oder viele betroffene Modelle oder verwendeten den Pin-Schutz gar nicht. Damit ist der Transponder offen für Brute-Force-Angriffe. Dass der Transponder den Schlüssel nur in Blocks von je 16 Bit statt als Ganzes schreibt, half den Forschern, die beim stumpf Durchprobieren in typischerweise zweieinhalb Stunden den Schlüssel gefunden hatten und diese Zeit mit einigen Optimierungen auf 30 Minuten verkürzen konnten. Als schnelle Abhilfe empfehlen die Forscher, den Pin-Schutz auf dem eigenen Schlüssel zu aktivieren und eine Zufallszahl als Pin in den Speicher zu schreiben.

Als die Forscher mit dieser Methode einige Schlüssel erraten hatten, fiel ihnen auf, dass es diesen Schlüsseln bemerkenswert an Entropie fehlte. Alle Schlüssel begannen mit 32 genullten Bits. In den restlichen 64 Bit zeigte sich, dass jedes alternierende Halbbyte einen fixen, herstellerspezifischen Code verwendete, in einem Beispiel waren es gar lauter Nullen. Zudem hat der Transponder keinen Pseudozufallszahlengenerator. Das alles schwächt das System derart, dass die Authentifzierung für weitere Angriffe anfällig wird, bei denen es ausreicht, zwei erfolgreiche Authentifizierungen mitzuschneiden.

Die Forscher gelangten zu einer Lösung mit einer 1,5 Terabyte großen Rainbow Table, mit Hilfe derer ein Laptop innerhalb weniger Minuten aus dem Mitschnitt den Schlüssel findet. Die Rainbow Table ließ sich in etwa 5 Tagen auf einem COPACOBANA-System (ein Array aus 120 FPGA-Chips) errechnen, doch die Rainbow Table braucht es nur ein Mal für alle möglichen Schlüssel dieses Systems.

Gegen den zweiten Angriff gibt es keine einfache Aktion, die Kunden oder Hersteller zur besseren Sicherheit durchführen könnten. Die Forscher empfehlen das, was Sicherheitsexperten Autoherstellern schon seit Langem empfehlen: offene, von der Sicherheits-Community also prüfbare und geprüfte Krypto-Protokolle verwenden und bessere Hardware. Schon 2012 konnten die Forscher auf ein seit mehreren Jahren bewährtes System hinweisen, das AES und einen brauchbaren Pseudozufallszahlengenerator in einer RFID-Karte implementiert. Die Mehrkosten lagen bei unter einem Dollar pro Schlüssel.

Die Forscher warnen auch explizit davor, dass die angekündigten Schwächen in derselben Form auch für Keyless-Systeme gelten können, bei denen der Kommunikations-Mitschnitt und die Übernahme des Autos enorm erleichtert werden.

Alle Modelle mit Jahreszahlen wurden von den Forschern konkret getestet

  • Alfa Romeo 147, 156, GT
  • Audi A1, A2, A3, A4 (2000), A6, A8, Allroad, Cabrio, Coup´e, Q7, S2, S3, S4, S6, S8, TT (2000)
  • Buick Regal
  • Cadillac CTS-V, SRX
  • Chevrolet Aveo, Kalos, Matiz, Nubira, Spark, Evanda, Tacuma
  • Citroen Jumper (2008), Relay
  • Daewoo Kalos, Lanos, Leganza, Matiz, Nubira, Tacuma
  • DAF CF, LF, XF
  • Ferrari California, 612 Schaglietti
  • Fiat Albea, Dobl `o, Idea, Mille, Multipla, Palio, Punto (2002), Seicento, Siena, Stilo, Ducato (2004)
  • Holden Barina, Frontera
  • Honda Accord, Civic, CR-V, FR-V, HR-V, Insight, Jazz (2002), Legend, Logo, S2000, Shuttle, Stream
  • Isuzu Rodeo Iveco Eurocargo, Daily
  • Kia Carnival, Clarus, Pride, Shuma, Sportage
  • Lancia Lybra, Musa, Thesis, Y
  • Maserati Quattroporte
  • Opel Frontera
  • Pontiac G3
  • Porsche 911, 968, Boxster
  • Seat Altea, Cordoba, Ibiza, Leon, Toledo
  • Skoda Fabia (2011), Felicia, Octavia, Roomster, SuperB, Yeti
  • Ssangyong Korando, Musso, Rexton Tagaz Road Partner
  • Volkswagen Amarok, Beetle, Bora, Caddy, Crafter, Cross Golf, Dasher, Eos, Fox, Gol, Golf (2006, 2008), Individual, Jetta, Multivan, New Beetle, Parati, Polo, Quantum, Rabbit, Saveiro, Santana, Scirocco (2011), Touran, Tiguan, Voyage, Passat (1998, 2005), Transporter
  • Volvo C30, S40 (2005), S60, S80, V50, V70, XC70, XC90, XC94

(axk)