- Startseite
- Forum
- Auto
- Mercedes
- B-Klasse
- W246 & W242
- Schlüssellos - auch für Diebe! Neudeutsch: keyless
Schlüssellos - auch für Diebe! Neudeutsch: keyless
Volltreffer. Wagen B - W246 "gut ausgestattet" bestellt. Natürich mit Hosentaschenschlüssel. Keyless.
So wie ich es schon vor ca. 10 Jahren bei meinem französischen Kollegen mit einem Peogot(?) gesehen hatte. Damals.
Jetzt kommt die Nachricht (WDT; Spiegel: http://www.spiegel.de/.../...rtabel-auch-fuer-diebe-a-1072851.html?... )
Sicherheitslücke! DIEBE können sich ganz einfach BEDIENEN. Dein Auto wird meine Auto. Nein, keine Theorie, es ist gängige Praxis.
Hmmm. Was mich stört als "blöden Kunden" - offenbar aus der Sicht der Autoindustrie (es haben nicht nur die MBs das Manko):
1° Warum wird man nicht angeschrieben, mit offenen Karten gespielt? Schlüsselgate 2.0!
2° Warum ist "man" immer noch auf dem technischen Stand von VOR 10 Jahren? Das hier ist eine
.. klassische MITM Attacke. Selbst ein ~10J. Entwicklungszyklus erklärt sowas in meinen Augen nicht. Auch vor 10J. war das Gegenmittel (krypt. signieren) ja längst Stand der Technik.
Schwach.
3° Wer trägt das Risiko/Kosten?
4° Wozu hat man für eine Ausstattung bezahlt, die man man jetzt abschalten muss?
Geld zurück??? (In den USA wahrscheinlich bei der Justiz möglich + Entschädigung. Bei uns???)
5° Noch schlimmer: Offenbar eine uralt-"Denke" in dieser Industrie. Wie auf Brieftaubenstandard. Am Geld kann es doch da nicht liegen? Wir bezahlen doch sehr gut, als Kunden! Einfach vorindustriell.
(Übrigends so wie in der Politik auch: Da war es/ist es einfach "unvorhersehbar/alternativlos", dass nach Afganistan <--->Marokko <--> Deutschland "telefoniert" wird, um die neuesten unkontrollierten Notaufnahmelager durchzugeben etc.)
Was haben wir nur für ein Industrie-/Politikmanagment in "D"-schland??? Das Problem löst sich wohl nur biologisch. Oder langsam bei Wahlen? Na denn.
Beste Antwort im Thema
Was wolltest du uns nun eigentlich sagen???
Ähnliche Themen
21 Antworten
Volltreffer. Wagen B - W246 "gut ausgestattet" bestellt. Natürich mit Hosentaschenschlüssel. Keyless.
So wie ich es schon vor ca. 10 Jahren bei meinem französischen Kollegen mit einem Peogot(?) gesehen hatte. Damals.
Jetzt kommt die Nachricht WDT; Spiegel mit Kommentaren
Sicherheitslücke! DIEBE können sich ganz einfach BEDIENEN. Dein Auto wird meine Auto. Nein, keine Theorie, es ist gängige Praxis.
Hmmm. Was mich stört als "blöden Kunden" - offenbar aus der Sicht der Autoindustrie (es haben nicht nur die MBs das Manko):
1° Warum wird man nicht angeschrieben, mit offenen Karten gespielt? Schlüsselgate 2.0!
2° Warum ist "man" immer noch auf dem technischen Stand von VOR 10 Jahren? Das hier ist eine
.. klassische MITM Attacke. Selbst ein ~10J. Entwicklungszyklus erklärt sowas in meinen Augen nicht. Auch vor 10J. war das Gegenmittel (krypt. signieren) ja längst Stand der Technik.
Schwach.
3° Wer trägt das Risiko/Kosten?
4° Wozu hat man für eine Ausstattung bezahlt, die man man jetzt abschalten muss?
Geld zurück??? (In den USA wahrscheinlich bei der Justiz möglich + Entschädigung. Bei uns???)
5° Noch schlimmer: Offenbar eine uralt-"Denke" in dieser Industrie. Wie auf Brieftaubenstandard. Am Geld kann es doch da nicht liegen? Wir bezahlen doch sehr gut, als Kunden! Einfach vorindustriell.
(Übrigends so wie in der Politik auch: Da war es/ist es einfach "unvorhersehbar/alternativlos", dass nach Afganistan <--->Marokko <--> Deutschland "telefoniert" wird, um die neuesten unkontrollierten Notaufnahmelager durchzugeben etc.)
Was haben wir nur für ein Industrie-/Politikmanagment in "D"-schland??? Das Problem löst sich wohl nur biologisch. Oder langsam bei Wahlen? Na denn.
Was wolltest du uns nun eigentlich sagen???
Bei MB-Keyless kannst du den Startknopf rausklicken und mitnehmen. Dann hat auch der Dieb nix zu melden.
Zitat:
@Rentner70 schrieb am 22. Januar 2016 um 14:01:57 Uhr:
Was wolltest du uns nun eigentlich sagen???
Weiß ich auch nicht, aber vielleicht hilft ihm ja der nachfolgende Link zu den Kameraden nebenan mit der C-Feldpostnummer weiter: Tücken beim Keyless
Was sagen?
So uninformiert werden "wir" gehalten.
Ja, wahr ist, dass diese Implementierung der Uralttechnik "Keyless" bei vielen, leider auch bei MB, nicht sicher funktioniert.
Uralttechnik: weil bei den französischen Herstellern schon seit ca. 8 Jahren Stand der Technik.
BenniBS Startknopf mit nehmen: Ernsthafter Vorschlag? Ja bei der Situation muss man wirklich Humor haben. Verbesserungsvorschlag: Man lassen sein Auto bewachen....
Implementierung: weil es NICHT an der Technik der drahtlosen Übertragung liegt, sondern an der ungenügenden Implementierung!
Die Journalisten, die darüber kenntisslos berichten, sind ihr Geld nicht wert.
Erläuterung (wers noch lesen will) :
Beim klassischen Webszenario "kennen" sich die Kommunikationspartner ja auch nicht. Bei IP Kommunikation (multiple hops, packet switching/-routing) sprechen Kommunikationspartner "per-design" nicht direkt miteinander, sondern via einer unkalkulierbaren Kette von Mittels"maennern".
Trotzdem können 1. Vertraulichkeit als auch 2. Authenzität gewaehrleistet werden.
Seit "langem", 1. durch Verschlüsselung, 2. durch digitale Signaturen. Auch das Unterbinden von "Replays" (e.g. eines validen Authentifizierungsvorgangs) ist ein "alter Hut", e.g. durch Verschlüsseln eines beiderseitig bekannten Zählerstandes...
Die technischen Details und Charakteristika der Keyless-Go Systeme sind fuer obige Aussagen unerheblich, genauso wie das Gefasel des halbgebildeten Lesers u. Redakteurs, von VPNs um Schlüssel und Auto einander "näher" zu bringen. Viel "schwächere" Sicherheitsmodelle als die des ursprünglichen Internets, u.U. inkl. öffentlichem WiFi gehen eigentlich kaum.
Daher: Schwach. Auch schon technisch vor 10J. vermeidbar. Vermutlich war irgendeinem Betriebswirt die Kryptohardware zu teuer. Den Verantwortlichen müssten sie rückwirkend die Boni einziehen. Die betrogenen Deutschen müssen nun wieder auf ne US Sammelklage warten - und kriegen dann doch nichts.....
(:- Ich habs hier mal als Erklärung für die Pleite auf die "Kostrn" geschoben. Ist freundlicher. Nicht wie anfangs auf die Mittelalterdenke.
Lösungsvorschlag: Du musst es ja nie als SA ordern - ich persönlich will es nie mehr missen!
Gleich kommt bestimmt der Nächste und politisiert über Sinn und Unsinn sowie Zeitmäßigkeit von werkseitig verbauten Alarmanlagen...
Zitat:
@G.o.l.f.4 schrieb am 27. Januar 2016 um 11:50:53 Uhr:
BenniBS Startknopf mit nehmen: Ernsthafter Vorschlag? Ja bei der Situation muss man wirklich Humor haben.
War übrigens kein Märchen meinerseits - siehe Autobild 1/2016 vom 08.01.2016
Zitat:
@Rentner70 schrieb am 22. Januar 2016 um 14:01:57 Uhr:
Was wolltest du uns nun eigentlich sagen???
Ich?
Eigentlich wollte ich dem Lieferanten eine Möglichkeit geben, etwas zu sagen!!
Hat er aber nicht getan - freiwillig jedenfalls. Also habe ich gefragt:
Sinngemäße Antwort:
"..sie haben die Möglichkeit durch doppelten Knopfdruck am Schlüssel, die Automatik auszuschalten..".
Hmm.
Was sagt mir das?
Ohne Keyless, d.h. mit alter Technik, muss ich nur 1x (einmal drücken), wenn ich mein Wagen verschließen will, mit der Zusatztechnik von Mercedes 2x (zweimal).
Ohne Keyless ist das Auto billiger.
Gehts noch?
Das ist "..von hinten durch die Brust erschossen..".
UND JETZT?
Technisch meine Sicht:
MITM (Man in the middle attack) ist einfach zu verhindern. Z.B. SSL leistet das ja, unter einem deutlich schwierigeren Sicherheitsmodell (IP Kommunikation, Clients apriori unbekannt etc..)
Das Key & Car Szenario hat ja aber den grossen Vorteil, dass der Hersteller jedem Schluessel-Auto-Paar ein individuelles "shared-secret" mitgeben kann/könnte. Dann ist MITM noch einfacher zu verhindern (grob vereinfacht):
- Key: (counter, msg) verschlüsseln, counter++
- Auto: entschlüsseln & nie wieder msg's mit diesem oder kleinerem Counter akzeptieren
Die erweiterte Idiotie der Hersteller liegt darin, dass der MITM gar keine Geheimnisse erraten muss, oder Msgs verfälschen, oder Replays erzeugen. Es reicht eine Verbindung zw. Auto & Schlüssel herzustellen. Denn der Nutzer teilt ja seine Intention zu öffnen gar nicht mehr explizit (Knopfdruck..) mit. Physische Nähe reicht. Nur das eben deren Approximation phy.Nähe <=> Verbindung nicht mehr stimmt. Mind. Latenzchecks hätten die Deppen schon noch einbauen können ohne sich einen abzubrechen, wenn sie denn schon soetwas anbieten. ODER?
........Du hättest es auch etwas weniger 'verphrasiert' ausdrücken können, oder? Außer, vielleicht, es ginge um die Überhöhung Deiner Eigendarstellung bezüglich der Kenntnisse und Fähigkeiten der schlüssel-losen Schlüssel.
Denk mal an die einfachen Menschen unter uns, die beim Lesen Deines Beitrags gerade und zufällig kein Elektronik-Wörterbuch (Phrasenschlüssel) zur Hand haben.
Just my five Cents...
Hallo Leute,
ich lese gerade hier zufällig mit ... habe dieselbe Geschichte vor einiger Zeit im SL Forum thematisiert:
http://www.motor-talk.de/forum/unsicheres-keyless-go-t5507646.html
Es ist schon lange bekannt und gut dokumentiert (siehe z.B. den Link in meinem Post). Ja genau, das Problem sind nicht Schwächen in der Verschlüsselung der Kommunikation sondern die Distanz zwischen Schlüssel (beim Besitzer in der Tasche) und Steuergerät (im Auto) wird einfach künstlich überbrückt. Was hilft ist den Schlüssel abzuschirmen (in Alu-Folie einzuwickeln, oder in Metalldose legen - Stichwort Faraday-Käfig) aber dass hat dann natürlich nichts mehr mit Komfort zu tun ... es gibt eine Box die absolut sicher sein soll
http://www.bundpol.de/schliesstechnik/secukey.htm
kostet aber 485 Euro. Die Keyless GOs der neuesten Generation kann man am Schlüssel einfach abschalten und bei Bedarf wieder einschalten. Das ist na klar nur ne Notlösung aber trotzdem schon eine Verbesserung: Ich kann dass System ausschalten in den Situationen in denen ich mich nicht sicher fühle - z.B. viele Menschen um mich herum.
Warum die Hersteller nicht reagieren? Ganz einfach, weil es nicht in ihrem Interesse ist. Jedes geklaute Auto wird ersetzt (höherer Umsatz), und dem Beklauten ersetzt die VK den Schaden. Die Dummen sind nur wir alle die die Zeche durch höhere Versicherungsbeiträge zahlen düfen.
Na gut, wenn es jemandem zu kompliziert und zu beschwerlich ist, wie bislang einen Knopf auf dem Schlüssel zu drücken, der soll sich diesen teuren und unsicheren Blödsinn bestellen und muss dann halt mit dem Risiko leben. Ich nicht, weil keyless go = no go!
Zitat:
@spreetourer schrieb am 31. Januar 2016 um 14:11:11 Uhr:
Na gut, wenn es jemandem zu kompliziert und zu beschwerlich ist, wie bislang einen Knopf auf dem Schlüssel zu drücken, der soll sich diesen teuren und unsicheren Blödsinn bestellen und muss dann halt mit dem Risiko leben. Ich nicht, weil keyless go = no go!
Du sparst dir auch noch den Schlüssel ins Zündschloss zu stecken mit KG ... diejenigen die es haben, wollen es nicht mehr missen. Es ist wohl wie mit jedem "Komfort-Ding": Niemand braucht es aber wenn man es dann doch mal hat will man es nach einer Zeit nicht mehr missen. Bei meinem nächsten Benz ist es dabei.
Ich habs auch mitbestellt und freu mich schon drauf, wie auf so vieles, was ich bei der roten Lady verschlampt habe, mitzubestellen ...
Zitat:
@spreetourer schrieb am 31. Januar 2016 um 14:11:11 Uhr:
Na gut, wenn es jemandem zu kompliziert und zu beschwerlich ist, wie bislang einen Knopf auf dem Schlüssel zu drücken, der soll sich diesen teuren und unsicheren Blödsinn bestellen und muss dann halt mit dem Risiko leben. Ich nicht, weil keyless go = no go!
Ich hatte bei meinen letzten beiden Renaults Keyless, und fand das super. War die erste Zeit mit dem B eine Umstellung, ich habe dann öfter an der noch verschlossenen Autotür gezerrt. Wegen erhöhtem Diebstahlrisiko hätte ich keine Angst, das hat man eh nicht in der Hand. Genausowenig wie von anderen verursachte Parkrempler usw.
Gruß Bodo