l+f: Krypto-Facepalm für Hyundai
Die Programmierer von Hyundais Infotainment-System wissen offensichtlich nicht, was ein Geheimnis ist.
Der Besitzer eines Hyundai Ioniq SEL Baujahr 2021 will die Software seines Auto modifizieren und deckt dabei einen heftigen Krypto-Fail auf.
In einem Bericht schreibt der PKW-Besitzer, dass er zuerst die Firmware von der offiziellen Hyundai-Website analysiert hat. Eigenen Angaben zufolge konnte er den Passwortschutz des Zip-Archivs ohne große Probleme umgehen und fand darin unter anderem einen Public Key (AES symmetrisch CBC) und weitere Komponenten zum Verschlüsseln der Firmware.
Schlüssel-Suche leichtgemacht
Nun fehlte im noch der private Schlüssel, um einige Daten zu signieren, damit das Auto das Firmware-Image akzeptiert und installiert. Mit den Infos des Public Keys ausgestattet, startete er eine Internetsuche und stieß ziemlich schnell auf den privaten Schlüssel. Dabei handelt es sich um einen Beispiel-Schlüssel aus Online-Tutorials zum Thema Verschlüsselung. Unter anderem taucht er in einem NIST-Dokument auf (SP800-38A PDF).
Damit ausgerüstet konnte er die Firmware modifizieren, signieren, verschlüssen und im Anschluss installieren. Ob Hyundai mittlerweile Gegenmaßnahmen eingeleitet hat, ist bislang nicht bekannt.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(des)