"KEYLESS GO - so einfach war Autodiebstahl noch nie"


  • Was du schreibst gilt nur für Replay-Attacken.
    Gegen die hilft ein Challenge-Response-Verfahren.


    Der Trick beim Keyless-Go ist eine Relais-Attacke.
    Die funktioniert auch bei Challenge-Response-Verfahren.
    Gegen die Relais-Attacke hilft die Auswertung der Signallaufzeit, wie bei Jaguar.

  • Es lässt sich schon generell sagen, dass gesteigerte Sicherheit in der Regel einen höheren Aufwand oder Unbequemlichkeit für den Benutzer nach sich zieht. Es mag vereinzelt
    Ausnahmen geben.


    Meist ist das im Arbeitsalltag doch recht deutlich, sobald IT eine Rolle spielt:


    - Bitte nehmt verschiedene Passwörter für die unterschiedlichen Accounts
    - Bitte baut erst eine VPN Verbindung auf, bevor Ihr die sensiblen Dienste nutzt (Einrichtung, Einwahl, Handling)
    - Bitte wechselt Eure Passwörter alle 90, 180, etc. Tage
    - Bitte baut eine PKI auf und managed die Zertifikate
    - Sensible Daten dürfen aber nicht unverschlüsselt via Mail versendet werden
    - Bitte gebt die Passwörter nicht weiter, sondern richtet Vertretungsmöglichkeiten ein
    [...]


    Aber ich muss an der Stelle mal @CoreForce zustimmen. Vieles ist von der Autoindustrie so gewollt - es geht nur um Kosten und Marge. Und solange die Allgemeinheit das mit Ihren Versicherungsbeiträgen zahlt - so what?


    Als Beispiel mal die ganzen Berichte über die "gehackten" Autos schon vor mehr als 5 Jahren. Der erste Treffer dazu bei Google:


    https://www.sueddeutsche.de/au…er-ist-machtlos-1.2577174


    Zitat:
    "Was Miller und Varasek mit ihren Laptops anstellen können, haben sie nun abermals demonstriert - und wieder war Greenberg, inzwischen Redakteur beim amerikanischen Technik-Magazin Wired, der machtlose Fahrer des Autos. Es beginnt eher harmlos: Der Jeep dreht erst seine Klima- und dann die Soundanlage voll auf und aktiviert die Sitzkühlung, während die Hacker daheim auf der Couch sitzen und Greenberg meilenweit von ihnen entfernt auf der mehrspurigen Autobahn unterwegs ist. Daraufhin nimmt der Wagen dem Fahrer die Sicht, indem er plötzlich Wischwasser auf die Windschutzscheibe spritzt und die Scheibenwischer startet. Schließlich schalten die Hacker den Motor aus und lassen das Auto ausrollen - mitten auf der Interstate."


    In unseren Autos sind verschiedene BUS Systeme verbaut, welche wahrscheinlich hunderte Steuergeräte miteinander verbinden. Der zumindest für unsensiblere Steuersysteme (z.B. Bedienung der Fensterheber, Scheibenwischer) genutzte CAN-Bus wurde Mitte der 80er Jahre von BOSCH entwickelt und wird bis heute genutzt. Mitte der 80er Jahre hatte sicherlich niemand Angriffe auf einen PKW via Bluetooth und Co. auf dem Schirm. Sprich diese Systeme kommunizieren (Broadcast an alle Steuersysteme) total ungeschützt.


    Ja es gibt mittlerweile auch neuer BUS Systeme, z.B. MOST (Meist für K'ommunikation und Audio) oder FlexRay (mit Redundanz und Zeitmessung) - dennoch werkelt in jedem Auto auch noch das System aus den 80er Jahren.


    Weiß die Autoindustrie seit Jahren. Es gibt immer mal wieder Kooperationen der großen Hersteller. Aber etwas ändern würde Aufwand bedeutet. Aufwand bedeutet Geld. Das schmälert entweder die Marge oder der Endkunde muss höhere Preise zahlen. Beides unattraktiv.


    Also sitzt die Autoindustrie die Sache aus, solange es nicht zuuuuuuu offensichtlich wird. Leider.

    MX-5 RF G184 SL & SP

    Einmal editiert, zuletzt von Meph ()

  • Das Problem an Attacken ist das die immer ausgefeilter werden. So schützt z. B. SSL heutzutage längst nicht mehr hinreichend und zu ändernde Passwörter haben sich schon lange überholt.


    Ihr verlangt von den Automobil Firmen auch etwas viel. Da zählt Geld, es ist nicht hinreichend Wissen vorhanden und die hinken sowieso immer um viele Jahre hinterher.
    By the way.
    Wer glaubt sein guter alter Funkschlüssel wäre sicherer irrt gewaltig. Der war genauso unsicher und hat oftmals noch nicht einmal eine Man-in-the-Middle Attacke benötigt.
    Ein Profi braucht noch nicht einmal eine Funkverbindung um ein Wagen schnell und nahezu unsichtbar zu knacken.


    Ist auch alles nicht so relevant.
    Letztendlich ist es ein volkswirtschaftliches Problem, da die Versicherung zumindest meist für den Diebstahl aufkommt.
    Und unser Wagen ist alles andere als besonders begehrt.
    Fahrt lieber damit. Auf eine unsichere Basis kann man ohnehin keine zufriedenstellende Sicherheit aufbauen.

  • Ob es wirklich helfen würde, hier ‚sicherere‘ Systeme zu entwickeln ist davon ab noch eine andere Frage. Das mit der Signallaufzeit ist sicher ‚im Moment‘ eine Lösung, aber wie bei allen Sicherheitssystemen ist es nur eine Zeitfrage, bis wann die Hacker/Kriminellen auch das umgehen können.


    Von daher kann ich die Autohersteller sogar ein Stück weit verstehen. Sie würden da Zeit und Geld investieren, aber das führt am Ende nur zu einer Aufrüstspirale auf beiden Seiten.

    TSchau


    ___________________
    (____________
    ______________) t e f a n

  • Exakt diese Spirale würde passieren. Dann wird sich wieder beschwert, dass Autos ja immer mehr Technik haben. Ein Automobil ist nunmal immer der Gefahr des Diebstahls ausgesetzt, solange es mobil ist. Man bedenke außerdem auch mal die Diebstahlquoten zu Zeiten des normalen Schlosses in der Tür...

  • Ich denke auch, dass es diese Aufwärtsspirale geben würde und bin deswegen der Meinung, dass die Wahrscheinlichkeit einfach deswegen geringer ist, wenn man selbst was unternimmt.


    Was den zweiten Schlüssel angeht, so kann man einfach die Batterie herausnehmen und daneben legen, wenn es nur ein Ersatzschlüssel zu Hause ist.


    Bezügl. der Access Tokens: Diese haben ja auch eine begrenzte Lebensdauer. Aber ich schrieb ja zuvor schon, dass auch das bei öffnetlichen Netzen noch nicht ausreicht. Ich werde mir was das angeht noch ein paar Gedanken machen und ein Konzept vorstellen, für Feedback.

  • Oh je was ist hier los ? Winterfrust ?



    Keyless-Go ist bekannt dafür das man das Schlüssel Signal abgreifen kann. Aber ich sehe hier ganz andere Autos auf der Einkaufsliste für Langfinger. Wird eine Lücke geschlossen suchen sich die Diebe eben eine andere. Der Mensch ist eben erfinderisch und das ist auch gut so , sonst würden wir immer noch auf Bäumen leben ;) Und das Argument wegen der Versicherung . Dafür Zahlt man ja auch Beiträge weil man das Risiko nicht selbst tragen will !!



    Wird Zeit das der Winter zu Ende geht !! ;):D

    Gruß Peter


    MX-5 G184 Signature in schwarz, SPS Street Gewindefahrwerk , I.L. Motorsport Domstrebe (Front + Heck),IL Motorsport Unterbodenstreben vorn und hinten, IL Motorsport Kühlergrill Leisten, Zymexx Windschott , Zymexx Japan Racing Felgen in Bronze, Zymexx Blinker, Zymexx Stubby Antenne , Zymexx Generation 7 ESD

  • Von daher kann ich die Autohersteller sogar ein Stück weit verstehen. Sie würden da Zeit und Geld investieren, aber das führt am Ende nur zu einer Aufrüstspirale auf beiden Seiten.


    Na ja, da bin ich nicht ganz dabei, dass wäre ja so, als wenn man vor Computerviren, Trojanern, Geldfälschern, Computerbetrügern usw. usw. und was weiß ich was alles kapitulieren würde, weil es bald eh wieder jemand knackt :whistling:


    Trotzdem liebe ich diese Funktion am Auto und beim MX-5 habe ich weniger Angst als beim Mazda 3. Mazda 3 und Co. sind nämlich was das angeht äußerst beliebt in Osteuropa, ich meine ich kanns verstehen, so ein Mazda ist ja doch etwas hübscher als ein Golf :D Aber bei uns in S-H haben einige Mazda Händler (selbst die sind betroffen und mich hat sehr gewundert das dass so offen im Fernsehen zugegeben wurde...) laut Bericht im Fernsehen haben die ihre Sicherheitsmaßnahmen erhöht, eher etwas old school aber wohl sehr wirksam: "einfach ein abschließbares Tor/Schranke und ein paar Betonblumenkübel und Zaun ringsrum und nun ist Ruhe :thumbsup:


    PS: Leider ist der Bericht nicht mehr in einer Mediathek, aber hier kurz zum Nachlesen was die Hersteller so nettes darauf geantwortet haben: NDR

  • Na ja, da bin ich nicht ganz dabei, dass wäre ja so, als wenn man vor Computerviren, Trojanern, Geldfälschern, Computerbetrügern usw. usw. und was weiß ich was alles kapitulieren würde, weil es bald eh wieder jemand knackt :whistling:

    jaein... Virenscanner kann man updaten, und das sehr einfach und im Laufenden Betrieb. Mit einem Schlüsselsystem ist das schon schwerer... ;)

    TSchau


    ___________________
    (____________
    ______________) t e f a n