Rolling Pwn: Hondas öffnen und starten durch Sicherheitslücke

Die IT-Sicherheitsforscher Kevin2600 und Wesley Li vom Star-V Lab haben sich das Funkschlüssel-System von Honda genauer angesehen und sind dabei über eine Schwachstelle gestolpert, die es Unbefugten erlaubt, vermutlich alle Honda-Modelle von 2012 bis 2022 aus der Ferne zu öffnen oder gar zu starten. Abhilfe ist bislang nicht in Sicht.

Rollierende Codes

Grundsätzlich diene ein rollierender Code bei einem schlüssellosen Öffnungssystem dazu, sogenannte Replay-Attacken zu verhindern, erläutern die Forscher. Bei einer Replay-Attacke können Angreifer die Funkkommunikation etwa mit einem Software-Defined-Radio (SDR) mitschneiden und einfach erneut abspielen, um ein Auto zu öffnen. Beim Rolling-Code wird nach jedem Tastendruck ein sogenannter Rolling-Codes-Synchronizing-Zähler erhöht. Dadurch funktioniert das simple Abspielen einer alten Kommunikation nicht, um das Auto zu öffnen – der nötige Code ist inzwischen ein anderer.

Das Fahrzeug akzeptiert laut Beschreibung der Forscher jedoch ein "mitlaufendes Fenster" (sliding window) an Codes, um Folgen eines unbeabsichtigten Drückens am Schlüssel zu vermeiden. Honda-Fahrzeuge synchronisierten den Zähler durch Senden der Befehle in fortlaufender Sequenz neu. Ist der Zähler erneut synchronisiert, funktionierten Befehle aus dem vorherigen Zyklus wieder. Daher könnten diese Befehle später genutzt werden, um das Auto nach Belieben zu öffnen. Die Sicherheitslücke hat sogar einen Eintrag in der Common Vulnerabilities and Exposures-Datenbank erhalten: CVE-2021-46145, CVSS 5.3, Risiko "mittel".

Auf einer eigens eingerichteten Github-Seite zur Rolling Pwn-Schwachstelle finden sich neben der groben Beschreibung des Angriffs noch häufig gestellte Fragen und Videos, die den funktionierenden Angriff belegen sollen. Tools, mit denen sich die Angriffe durchführen lassen, wollen sie aber nicht veröffentlichen, damit niemand damit losziehe und Autos stehle.

An folgenden Modellen haben die Entdecker ihrer Meldung zufolge die Lücke erfolgreich getestet: Honda Civic (2012), Honda X-RV (2018), Honda C-RV (2020), Honda Accord (2020), Honda Odyssey (2020), Honda Inspire (2021), Honda Fit (2022), Honda Civic (2022), Honda VE-1 (2022) und Honda Breeze (2022).

Die IT-Forscher haben dem eigenen Bekunden nach Hinweise gefunden, dass derartige Schwachstellen auch andere Hersteller betreffen und planen, zu einem späteren Zeitpunkt weitere Details zu veröffentlichen. Den Angriff haben sie aber aus diesem Grund Rolling Pwn anstatt Honda Pwn genannt.

Sie betonen, dass andere Forscher zwar ähnliche Lücken in Honda-Vehikeln gefunden hätten, es sich bei den alten Angriffen jedoch um Fixed-Code handelte, die die einfachen Replay-Attacken ermöglichten. Kevin2600 und Wesley Li hätten Honda schließlich mit dem Kundendienst-Formular kontaktiert, bislang jedoch keine Antwort erhalten. Die ersten Versuche demonstrierten sie bereits Ende Dezember 2021 auf Twitter. Die Projektseite dazu haben sie am vergangenen Wochenende online gestellt.

Hersteller zweifelt

Gegenüber Vice äußerte ein Honda-Sprecher, dass das Unternehmen in der Vergangenheit ähnlichen Vorwürfen nachging und diese sich als substanzlos erwiesen. Zwar habe man nicht genug Informationen, um die Glaubwürdigkeit dieses Berichts zu würdigen, jedoch hätten die Funkschlüssel der genannten Fahrzeuge Rolling-Code-Technik, die die im Bericht genannte Schwachstelle verhindere. Zudem zeigten die Videos, die als Beleg von fehlendem Rolling-Code dienen sollen, nicht genügend Beweise, um diese Vorwürfe zu bekräftigen.

Derartige Sicherheitslücken finden sich öfter in schlüssellosen Öffnungssystemen für Fahrzeuge. So gelang es vor etwa zwei Monaten Forschern, Tesla Model 3 und Tesla Y mittels Bluetooth-Angriff zu knacken.

(dmk)