Teslas Keyless-Schließsystem gehackt
Relay-Attacken plagen die Autoszene fast seit Beginn der Keyless-Epidemie. Forscher der belgischen KU Leuven zeigen jetzt, dass wie immer in der Autoindustrie auch die zugrundeliegende Technik eher billig als sicher ist
- Clemens Gleich
Moderne Keyless-Systeme sind der Liebling der Autoschlepper geworden, weil Relay-Attacken so gut funktionieren. Ein Forscherteam der belgischen KU Leuven zeigte jetzt auf, dass auch die dahinterliegende Krypto-Technik unsicher sein kann. Konkret untersuchten sie ein Tesla Model S mit passivem Funkschließsystem (also ohne Knopf drücken zum Entriegeln). Dessen Keyfob ließ sich mit geringem Aufwand und für den Besitzern unbemerkt kopieren. Anders als bei einer Relay-Attacke erhält der Angreifer also nicht nur ein Mal, sondern dauerhaft Zugriff auf das Fahrzeug. Der Zulieferer Pektron hat das unsichere System außer Tesla noch Triumph Motorrad, McLaren und Karma (vormals Fisker) verkauft.
Schon 2005 geknackt
Der ultimative Grund für diese Diebstahlmöglichkeit liegt im typischen Autoindustrie-Controlling: Keyfobs dürfen nicht die ein, zwei Euro mehr kosten, die eine zeitgemäße Krypto-Hardware verlangt. Der daraus resultierende technische Grund ist mehrschichtig. Pektron verwendet die Chiffriermethode DST40, die schon 2005 geknackt wurde; hauptsächlich aufgrund der zu kurzen Schlüssel. DST40 hat aber noch eine weitere Schwäche, die das Forscherteam nutzte: Auf die Challenge mit 40 Bit antwortet der Schlüssel mit einer verkürzten Response von 24 Bit auf einen gemeinsamen geheimen Schlüssel von 40 Bit. Deshalb gibt es zwangsläufig viele (2 hoch 16) gleiche Antworten auf eine Challenge. Das Szenario gab die Chance für einen Time-Memory-Tradeoff.
Das Team schrieb alle möglichen Schlüssel auf eine Festplatte, was 5,4 TB brauchte (2 hoch 40 mal 40 Bit Speicher). Diese Liste unterteilten sie in 2 hoch 24 Blöcke, deren einzelne Schlüssel die gleichen Antworten auf ihre festgelegte Challenge ergaben. In jedem dieser Blöcke stehen 2 hoch 16 Schlüssel, die dieselbe Antwort ergeben. Um den konkreten geheimen Schlüssel eines Keyfobs zu finden, senden die Forscher ihm also zunächst ihre fixe Challenge.
In zwei Sekunden erledigt
Sie schlagen dann über eine Netzverbindung in ihrer Datenstruktur nach, welcher Schlüsselblock zur gegebenen Antwort gehört. Irgendwo in den 2 hoch 16 Schlüsseln des Blocks steht der richtige, geheime Schlüssel. Nur welcher? Sie senden eine zweite Challenge. Deren Ergebnis müssen sie dann statt mit 2 hoch 40 Schlüsseln (was auf ihrer Hardware 777 Tage gedauert hätte) nur noch mit dem Subset von 2 hoch 16 Schlüsseln (65536) durchprobieren, was ihre Hardware (ein Raspberry Pi 3 B+) in unter 2 Sekunden erledigt. Damit liegt der vormals geheime Schlüssel offen und kann wie der Erstschlüssel benutzt werden. Die benötigte Hardware inklusive Funktechnik kostet um die 500 Euro.
Gründe hinter Gründen
Pektrons System weist einige weitere Schwächen auf, die diesen Hack ermöglichen. Das Auto sendet beispielsweise offen periodisch seine Kennung. Ein Schlüssel antwortet auf die jeweils eingelernte Kennung, dass er passt. Dann sendet das Auto eine zufällige Challenge, die der Keyfob beantwortet. Ein Angreifer kann sich also sehr einfach in diesen Prozess schalten. Die Auto-Kennung erhält er vom Auto, das sie ständig sendet. Damit geht er zum Keyfob, der jedem Sender mit dieser quasiöffentlichen Kennung Challenges beantwortet. Beides funktioniert drahtlos in Sekunden. Eine systematische Abhilfe gibt es nicht. DST40 sollte schlicht nicht mehr verwendet werden, weil es seit über 10 Jahren technischen Standards nicht mehr genügt.