l+f: Krypto-Facepalm fĂĽr Hyundai
Die Programmierer von Hyundais Infotainment-System wissen offensichtlich nicht, was ein Geheimnis ist.
(Bild: file404/Shutterstock.com)
Der Besitzer eines Hyundai Ioniq SEL Baujahr 2021 will die Software seines Auto modifizieren und deckt dabei einen heftigen Krypto-Fail auf.
In einem Bericht schreibt der PKW-Besitzer, dass er zuerst die Firmware von der offiziellen Hyundai-Website analysiert hat. Eigenen Angaben zufolge konnte er den Passwortschutz des Zip-Archivs ohne groĂźe Probleme umgehen und fand darin unter anderem einen Public Key (AES symmetrisch CBC) und weitere Komponenten zum VerschlĂĽsseln der Firmware.
SchlĂĽssel-Suche leichtgemacht
Nun fehlte im noch der private SchlĂĽssel, um einige Daten zu signieren, damit das Auto das Firmware-Image akzeptiert und installiert. Mit den Infos des Public Keys ausgestattet, startete er eine Internetsuche und stieĂź ziemlich schnell auf den privaten SchlĂĽssel. Dabei handelt es sich um einen Beispiel-SchlĂĽssel aus Online-Tutorials zum Thema VerschlĂĽsselung. Unter anderem taucht er in einem NIST-Dokument auf (SP800-38A PDF).
Damit ausgerĂĽstet konnte er die Firmware modifizieren, signieren, verschlĂĽssen und im Anschluss installieren. Ob Hyundai mittlerweile GegenmaĂźnahmen eingeleitet hat, ist bislang nicht bekannt.
lost+found
Die heise-Security-Rubrik fĂĽr Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Ăśbersicht
(des)
