{"id":265448,"date":"2022-05-18T15:37:40","date_gmt":"2022-05-18T13:37:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265448"},"modified":"2024-08-09T21:06:27","modified_gmt":"2024-08-09T19:06:27","slug":"bluetooth-low-energy-schwachstelle-und-der-tesla-auto-klau","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/18\/bluetooth-low-energy-schwachstelle-und-der-tesla-auto-klau\/","title":{"rendered":"Bluetooth Low Energy-Schwachstelle und der Tesla-Auto-Klau"},"content":{"rendered":"

\"Sicherheit[English<\/a>]In der Bluetooth Low Energy-Implementierung gibt es eine Schwachstelle, die einen Remote-Zugriff auf entsprechende Bluetooth-Ger\u00e4te (T\u00fcrschl\u00f6sser, elektronische Ger\u00e4te und Autos) erm\u00f6glicht. Unter anderem musste der US-Autobauer Tesla zugeben, dass seine Elektroauto-Modelle Tesla Model 3 und Tesla Y auf diese Weise entsperrt, gestartet und so gestohlen werden k\u00f6nnen.<\/p>\n

<\/p>\n

Bluetooth Low Energy (BLE) Schwachstelle<\/h2>\n

\"\"Bluetooth Low Energy (BLE) ist ein Standardprotokoll f\u00fcr den Datenaustausch zwischen Ger\u00e4ten, das von Unternehmen f\u00fcr die Proximity-Authentifizierung zur Entriegelung von Millionen von Fahrzeugen, intelligenten Schl\u00f6ssern in Wohngeb\u00e4uden, Zugangskontrollsystemen f\u00fcr gewerbliche Geb\u00e4ude, Smartphones, Smartwatches, Laptops und mehr eingesetzt wird.<\/p>\n

\"Bluetooth<\/a><\/p>\n

Sicherheitsforscher der NCC Group haben den weltweit ersten Link-Layer-Relay-Angriff auf Bluetooth Low Energy (BLE) durchgef\u00fchrt, wie ich obigem Tweet<\/a> und dieser Meldung<\/a> der Entdecker entnehme. Die Sicherheitsforscher konnten mit ihrem Proof-of-Concept (PoC) beweisen, dass sehr beliebte Produkte derzeit eine unsichere BLE-Proximity-Authentifizierung in kritischen Anwendungen verwenden. Durch die Weiterleitung von Daten aus dem Basisband auf der Verbindungsschicht umgeht der Hack bekannte Schutzma\u00dfnahmen f\u00fcr Relay-Angriffe, einschlie\u00dflich verschl\u00fcsselter BLE-Kommunikation, da er die oberen Schichten des Bluetooth-Stacks und die Notwendigkeit der Entschl\u00fcsselung umgeht.\u00a0 Sultan Qasim Khan, Principal Security Consultant und Forscher der NCC Group, der diese Untersuchung durchgef\u00fchrt hat, schreibt dazu:<\/p>\n

Die St\u00e4rke dieses Angriffs liegt nicht nur darin, dass wir ein Bluetooth-Ger\u00e4t davon \u00fcberzeugen k\u00f6nnen, dass wir uns in seiner N\u00e4he befinden – selbst aus Hunderten von Kilometern Entfernung -, sondern auch darin, dass wir dies selbst dann tun k\u00f6nnen, wenn der Hersteller defensive Ma\u00dfnahmen wie Verschl\u00fcsselung und Latenzbegrenzung ergriffen hat, um diese Kommunikation theoretisch vor Angreifern aus der Ferne zu sch\u00fctzen.<\/p><\/blockquote>\n

Alles, was es f\u00fcr einen erfolgreichen Angriff braucht, seinen 10 Sekunden Zeit – und diese Angriffe k\u00f6nnen endlos wiederholt werden. Laut den Ausf\u00fchrungen der Forscher umgeht der durchgef\u00fchrte Hack typische Gegenma\u00dfnahmen gegen die Remote-Entriegelung von Fahrzeugen. Das ver\u00e4ndert die Art und Weise, wie Ingenieure und Verbraucher \u00fcber die Sicherheit von Bluetooth Low Energy-Kommunikation denken m\u00fcssen, schreiben die Sicherheitsforscher und fordern bessere Schutzma\u00dfnahmen gegen solche Angriffe. Das Technical Advisory \u2013 BLE Proximity Authentication Vulnerable to Relay Attacks<\/a> enth\u00e4lt weitere Informationen.<\/p>\n

Tesla-Klau per Remote-Zugriff<\/h2>\n

Was der ganzen Geschichte besondere Aufmerksamkeit beschert, ist der Umstand, viele Autohersteller BLE zur Entriegelung ihrer Fahrzeuge einsetzen. Malwarebytes hat zum 17. Mai 2022 den Artikel Car owners warned of another theft-enabling relay attack<\/a> zum Thema ver\u00f6ffentlicht und sieht einen Dammbruch in Sachen Autodiebstahl \u00fcber solche Relay-Angriffe. Eine Person begibt sich in die N\u00e4he des elektronischen Schl\u00fcssels, mit dem das Fahrzeug entsperrt und gestartet werden kann. Dann wird das aufgefangene Signal des Fahrzeugschl\u00fcssels per Funk an einen zweiten Empf\u00e4nger weitergeleitet. Dieser sendet dann die Signale zum Entsperren des Fahrzeugs. Nachfolgendes Video zeigt das Prinzip dieses seit Jahren bekannten Angriffs auf Keyless Fahrzeugsysteme. Mit der BLE-Schwachstelle funktionieren diese Angriffe m\u00f6glicherweise aber \u00fcber gr\u00f6\u00dfere Strecken.<\/p>\n

(Quelle: YouTube<\/a>)<\/p>\n

Das d\u00fcrfte Fahrzeughersteller und Autobesitzer schwer treffen. Betroffen ist auch der Branchenprimus Tesla, dessen Elektrofahrzeugmodelle Model 3 und Tesla Y diese BLE-Technik zum Entsperren verwenden. Das auf Bluetooth Low Energy (BLE) basierende passive Zugangssystem erm\u00f6glicht Benutzern mit einem autorisierten Mobilger\u00e4t oder Schl\u00fcsselanh\u00e4nger das Fahrzeug aus der N\u00e4he zu entriegeln und zu bedienen, ohne dass eine Benutzerinteraktion am Mobilger\u00e4t oder Schl\u00fcsselanh\u00e4nger erforderlich ist. Das System erkennt ab einer gewissen Entfernung das mobile Ger\u00e4t oder den Schl\u00fcsselanh\u00e4nger anhand der Signalst\u00e4rke (RSSI) und \u00fcber Latenzzeitmessungen von kryptografischen Challenge-Response-Operationen, die \u00fcber BLE durchgef\u00fchrt werden.<\/p>\n

Gelingt es aber einem Angreifer ein Relaying-Ger\u00e4t innerhalb der BLE-Signalreichweite eines Mobiltelefons oder Schl\u00fcsselanh\u00e4ngers zu platzieren, kann er einen Relay-Angriff durchf\u00fchren, um das passende, d.h. autorisierte, Fahrzeug (Tesla Model 3 oder Model Y) zu entriegeln und zu bedienen.<\/p>\n

Die NCC Group hat ein Tool entwickelt, mit dem ein neuartiger BLE-Relay-Angriff auf der Verbindungsschicht durchgef\u00fchrt werden kann, bei dem die zus\u00e4tzliche Latenzzeit innerhalb des Bereichs der normalen GATT-Antwortzeitschwankungen liegt und der in der Lage ist, verschl\u00fcsselte Kommunikation auf der Verbindungsschicht weiterzuleiten. Dieser Ansatz kann die bestehenden Abschw\u00e4chungen von Relais-Angriffen durch Latenzbegrenzung oder Verschl\u00fcsselung auf der Verbindungsebene umgehen und Lokalisierungsschutzma\u00dfnahmen umgehen, die \u00fcblicherweise gegen Relais-Angriffe mit Signalverst\u00e4rkung eingesetzt werden. Da die durch diesen Relais-Angriff hinzugef\u00fcgte Latenzzeit innerhalb der Grenzen liegt, die vom passiven Zugangssystem des Model 3 (und wahrscheinlich auch des Model Y) akzeptiert werden, kann sie dazu verwendet werden, diese Fahrzeuge zu entriegeln und zu fahren, w\u00e4hrend sich das autorisierte Mobilger\u00e4t oder der Schl\u00fcsselanh\u00e4nger au\u00dferhalb der Reichweite befindet.<\/p>\n

Die NCC-Group hat dazu das Technical Advisory \u2013 Tesla BLE Phone-as-a-Key Passive Entry Vulnerable to Relay Attacks<\/a> ver\u00f6ffentlicht. In einem Versuch wurde der Angriff auf dem Model 3 getestet. Das Model Y ist wahrscheinlich auch betroffen, schreiben die Forscher. Der Angriff war mit einem iPhone 13 mini und der iOS-App Version 4.6.1-891 unter der Fahrzeugsoftware v11.0 erfolgreich. Bei dem Testaufbau wurde das iPhone im obersten Stockwerk am Ende eines Hauses platziert, etwa 25 Meter vom Fahrzeug entfernt, das sich in der Garage auf Bodenh\u00f6he befand. Das telefonseitige Relaisger\u00e4t wurde in einem anderen Raum als das iPhone aufgestellt, etwa 7 Meter vom Telefon entfernt. Das fahrzeugseitige Relaisger\u00e4t war in der Lage, das Fahrzeug zu entriegeln, wenn es sich in einem Radius von etwa 3 Metern um das Fahrzeug befand.<\/p>\n

Ich erinnere mich an einen alten BMW eines lockeren Bekannten, der immer an der Stra\u00dfe stand. Das Fahrzeug fiel mir auf, weil dessen Lenkrad mit einer mechanischen Kralle, die eingelegt werden konnte, gegen Diebstahl gesichert war. Da traute jemand den Fahrzeugherstellern wohl nicht. Aber der BMW ist l\u00e4ngst weg – eh, nicht geklaut, sondern gegen ein Modell von Daimler ausgetauscht worden. Vielleicht kommen wir bald wieder zu solchen Verh\u00e4ltnissen. Ich hatte ja mal den Beitrag\u00a0Software: Unser Grab als PKW-Besitzer der Zukunft?<\/a> hier im Blog. Die Einschl\u00e4ge kommen n\u00e4her.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In der Bluetooth Low Energy-Implementierung gibt es eine Schwachstelle, die einen Remote-Zugriff auf entsprechende Bluetooth-Ger\u00e4te (T\u00fcrschl\u00f6sser, elektronische Ger\u00e4te und Autos) erm\u00f6glicht. Unter anderem musste der US-Autobauer Tesla zugeben, dass seine Elektroauto-Modelle Tesla Model 3 und Tesla Y auf diese Weise … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-265448","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265448"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265448\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}