Sicherheitslücke in Remote-Keyless-Systemen bei Audi, VW, Seat, Skoda

Wissenschaftler knacken Funkfernbedienung in VW-Schlüssel

Björn Tolksdorf

verfasst am Thu Aug 11 14:35:30 CEST 2016

Hat VW ein Schlüssel-Gate? Forscher berichten über eine Sicherheitslücke in Millionen VW-Fernbedienungen. Das Problem ist bekannt und bei Neuentwicklungen bereits gelöst.

VW Golf 4: Die Sicherheitslücke betrifft nach Angaben der Wissenschaftler einen Großteil der 100 Millionen Fahrzeuge, die VW in den letzten 15 Jahren verkaufte
Quelle: Volkswagen
  • Forscher berichten über Sicherheitslücke in Funkfernbedienungen von VW und zahlreichen weiteren Herstellern
  • Neueste VW-Modelle nicht betroffen, VW kannte das Problem
  • Lösung durch Hersteller unwahrscheinlich
  • Weitere Schwachstelle betrifft z. B. Fiat, Opel, Renault, PSA und Ford

Austin/USA - In der Autoindustrie sind sie gefürchtet, denn sie knacken Autos: Das Wissenschaftlerteam um Flavio Garcia und David Oswald von der Universität Birmingham erforscht Sicherheitslücken in Pkw. 2012 überwanden die Forscher eine weit verbreitete Wegfahrsperre. Nun stellt das Team auf der diesjährigen „Usenix“-Konferenz in Austin (Texas/USA) eine Arbeit zu Keyless-Entry-Systemen vor.

Die Funkfernbedienung für die Zentralverriegelung gehört heute bei den allermeisten Autos zur Serienausstattung. Die Forscher konzentrierten sich auf Volkswagen, Europas größten Autobauer mit einem Marktanteil von mehr als 20 Prozent.

Funkfernbedienung für eine Zentralverriegelung: VW verwendete weltweit nur wenige Codes in seinen Fahrzeugen. Wer sie kennt, kann viele Konzernfahrzeuge öffnen
Quelle: MOTOR-TALK
Sie wurden fündig: Bei Modellen der Marken VW, Seat, Skoda und Audi besteht eine Sicherheitslücke. Von den rund 100 Millionen Autos, die VW seit 2002 verkauft hat, seien zwar nicht alle, aber wahrscheinlich sehr viele mit dem angegriffenen System ausgestattet. Das Problem ist hausgemacht: VW hat mehr als 20 Jahre lang nur sehr wenige Verschlüsselungscodes (kryptographische Schlüssel) verwendet, und das weltweit. Die lassen sich auslesen und kopieren. Das war Experten länger bekannt.

Anzahl an Codes überschaubar

Die gute Nachricht für Besitzer jüngerer Fahrzeuge: VW hat Verschlüsselung und Autoschlüssel weiterentwickelt. Die Forscher untersuchten vier Techniken, die bis 2009 eingeführt wurden. Neuere Systeme sind deutlich sicherer. Das Kernproblem: VW verwendete (und verwendet) in vielen Modellen eine sehr begrenzte Anzahl von Master-Schlüsseln, die in Millionen von Fahrzeugen einprogrammiert wurden.

Wer diese Master-Schlüssel knackt, kann all diese Autos gewaltfrei öffnen. Hintergrund: Die ersten Remote-Keyless-Systeme arbeiteten komplett ohne Verschlüsselung. Aktuellere Systeme verwenden meist einen Mechanismus mit steigendem Zahlenwert (so genannte "rolling codes"). Bei jedem Druck auf die Fernbedienung zählt das System hoch. Ist der gesendete Wert höher als der zuletzt empfangene, wird das Signal akzeptiert.

Der Vorteil: Es hilft Autoknackern nicht, ein abgefangenes Signal zu replizieren. Einmal benutzte Codes werden ungültig. Es sei allerdings möglich, das Signal des Schlüssels zu blockieren und darauf zu hoffen, dass der Besitzer dies nicht bemerkt. Dann besitze der Angreifer einen gültigen Code, da das Auto ihn nicht empfangen habe – und finde ein offenes Auto vor.

VW reagierte beim modularen Baukasten

Der VW Bora wurde ebenfalls mit der anfälligen Schließanlage ausgeliefert. Erst bei den aktuellen Baukästen verwendet laut der Studie VW Systeme, die sicherer sind
Quelle: Volkswagen

Bei VW lässt sich der Verschlüsselungscode außerdem aus einem anderen Fahrzeug auslesen. Garcia gewann die Codes aus der Firmware fahrzeugseitiger Schließanlagen. Wer einen VW besitzt, kann also theoretisch viele VW öffnen. Das betrifft auch einige aktuelle Modelle. Garcia gelang es nach Entschlüsselung des Codes, eine gültige Anfrage an einen Audi Q3 aus aktueller Produktion zu senden.

VW kennt das Problem bereits seit Jahren, die britischen Forscher hatten VW ihre Ergebnisse erstmals Ende 2015 vorgestellt. In der veröffentlichten Arbeit fehlen daher in Absprache einige Details wie Teilenummern der Prozessoren und kryptographische Schlüssel. Der Konzern nutzt bei Neuentwicklungen längst individuelle Codes für jedes Auto. Das gilt laut Garcia für alle Autos, die die neuesten Plattformen nutzen (z. B. VW Golf 7).

Betroffene VW-Modelle, Baujahr 1995 - 2016

  • Audi: A1, Q3, R8, S3, TT und ggf. weitere
  • VW: Amarok, Beetle, Bora, Caddy, Crafter, e-Up, Eos, Golf 4, Golf 5, Golf 6, Golf Plus, Jetta, Lupo, Passat, Polo, T4, T5, Scirocco, Sharan, Tiguan, Touran, Up
  • Seat: Alhambra, Altea, Arosa, Cordoba, Ibiza, Leon, MII, Toledo
  • Skoda: Citigo, Roomster, Fabia 1, Fabia 2, Octavia, Superb, Yeti

Wie kann man sich schützen?

Betroffen sind auch baugleiche Fahrzeuge, wie zum Beispiel der Ford Galaxy 1 (baugleich mit VW Sharan). Um das Problem zu lösen, müsste VW bei allen Fahrzeugen die Firmware aktualisieren sowie den Schlüssel (oder den Chip darin) tauschen. Ein enormer und unrealistischer Aufwand.

Kunden können sich nur komplett schützen, indem sie die Funkschlüssel-Fernbedienung nicht verwenden und das Auto manuell auf- und abschließen. Zusätzliches Problem: Da das Auto den gefälschten Code akzeptiert, deaktiviert sich meist auch die Alarmanlage.

Es gebe jedoch Indizien, wenn das Auto gehackt worden sei, so die Forscher. Wenn sich das Auto beim ersten Knopfdruck nicht öffnet oder der Original-Schlüssel nicht mehr funktioniert, könne ein gefälschter Code ans Auto gesendet worden sein. Es gebe jedoch für beides auch andere Erklärungen – zum Beispiel häufiges Drücken der Fernbedienung außerhalb der Reichweite des Autos.

NXP-Chip: Weitere Sicherheitslücke war bereits bekannt

Den Forschern gelang es, einen Schlüsselcode für einen Audi Q3 aus aktueller Produktion zu fälschen
Quelle: Audi

Daneben untersuchten Garcia und sein Team den Hitag2-Chip des niederländischen Herstellers NXP. Dessen Verschlüsselung knackten sie mit einem selbst geschriebenen Code-Emulator. Der Chip steckt in Fahrzeugen vieler Hersteller: Die Wissenschaftler konnten Modelle von Alfa Romeo, Chevrolet, Citroen, Dacia, Fiat, Ford, Lancia, Mitsubishi, Nissan, Opel, Peugeot und Renault öffnen.

Der Aufwand sei jedoch höher als bei den VW-Modellen: Es dauere bis zu 10 Minuten, bis das Auto aufgeht. Die Schwäche des Systems sei seit einigen Jahren bekannt. Der Hersteller biete längst sichere Systeme an, die einige Hersteller aber noch nicht verwendeten.

In Deutschland berichteten die Süddeutsche Zeitung und die ARD zuerst über die Forschungen der Briten. Eine Sensation, wie heute viele Medien berichten, verbirgt sich dahinter nicht. Die Löcher sind lange bekannt und die Hersteller verfügen längst über sicherere Technologien. Andererseits: Beide Systeme sind millionenfach verbreitet und finden weiterhin in Neuwagen Verwendung.

Der Vortrag auf der Usenix-Konferenz zum Download

Auch interessant: Angreifbarkeit von Keyless Go Systemen

VW Sharan 1: Nach Angaben der Forscher betrifft das Problem auch die baugleiche, erste Generation des Ford Galaxy
Quelle: Volkswagen
Funkfernbedienung für eine Zentralverriegelung: VW verwendete weltweit nur wenige Codes in seinen Fahrzeugen. Wer sie kennt, kann viele Konzernfahrzeuge öffnen
Quelle: MOTOR-TALK
Den Forschern gelang es, einen Schlüsselcode für einen Audi Q3 aus aktueller Produktion zu fälschen
Quelle: Audi
Der VW Bora wurde ebenfalls mit der anfälligen Schließanlage ausgeliefert. Erst bei den aktuellen Baukästen verwendet laut der Studie VW Systeme, die sicherer sind
Quelle: Volkswagen

Quelle: Garcia, Oswald,Pavlidès, Kasper: Lock It and Still Lose It – On the (In)Security of Automotive Remote Keyless Entry Systems