![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Software-Sicherheit in Autos – ein brisantes Thema. Auf Plattformen wie TikTok feiert ein Trend, als Kia-Challenge oder Kia-Boys, fr\u00f6hliche Urst\u00e4nde – es geht darum Fahrzeuge von Kia oder Hyundai per USB-Stick zu klauen. Und ich bin auf die n\u00e4chste Schlamperei gesto\u00dfen: Ein Blogger hat bei einer Suche im Web die privaten Keys f\u00fcr Software-Updates bei Hyundai-Fahrzeugen gefunden.<\/p>\n
<\/p>\n
Offenbar k\u00f6nnen die aktuellen Kias durch die Heckscheibe aufgebrochen werden, ohne dass ein Alarm ausgel\u00f6st wird. Danach knacken die i.d.R. minderj\u00e4hrigen Diebe einfach das Fahrzeug mittels eines USB-Kabels, welches in eine Buchse in der Lenks\u00e4ule gesteckt wird, nachdem die Verkleidung abgerissen wurde, und machen Spritztouren. Diese werden dann gefilmt und auf Plattformen wie YouTube<\/a> und Tiktok geteilt.<\/p>\n Es sieht so aus, als ob sich das Fahrzeug mit einfachen Mitteln starten und f\u00fcr Spritztouren verwenden l\u00e4sst. Laut diesem Artikel<\/a> weisen insbesondere Kia-Modelle aus den Jahren 2011 bis 2012 und Hyundai-Modelle aus den Jahren 2015 bis 2021 Schwachstellen auf, \u00fcber die die Diebe die die Z\u00fcndung einschalten und so die Sperre durch den Funk-Autoschl\u00fcssel umgehen k\u00f6nnen.<\/p>\n In den USA versuchen sich die Fahrzeughalter vor diesen Diebst\u00e4hlen durch ein Lenkradschloss (Stange, die ins Lenkrad eingeklemmt wird und abschlie\u00dfbar ist) zu sch\u00fctzen. Das verhindert, dass die Diebe die Fahrzeuge f\u00fcr gr\u00f6\u00dfere Spritztouren mit Kurvenfahrten stehlen k\u00f6nnen. Golem<\/a> und Stern<\/a> berichteten \u00fcber diesen Trend in den USA (in den Beitr\u00e4gen finden sich weitere Details und Erkl\u00e4rungen). In Deutschland ist dies kein Thema, da Fahrzeuge seit dem 1. Januar 1998 eine Wegfahrsperre haben m\u00fcssen.<\/p>\n Der Zugriff auf die Fahrzeug-Software von PKWs, z.B. f\u00fcr Updates, ist durch eine digitale Signatur gesch\u00fctzt, um Unbefugte von einer Manipulation abzuhalten. Der private Schl\u00fcssel zum Signieren wird dabei gut gesch\u00fctzt von den Herstellern aufbewahrt\u00a0 – da kommt keiner heran. Denn wer den privaten Key besitzt, kann Software mit dem \u00f6ffentlichen Schl\u00fcssel signieren. Maximal sch\u00fctzt ggf. noch ein Kennwort vor Missbrauch.<\/p>\n Damit Interessierte das auch verstehen und Entwickler sich mit der Sachlage vertraut machen k\u00f6nnen, gibt es diverse Artikel im Internet – obiges Foto zeigt, dass dort auch private Schl\u00fcssel f\u00fcr Demonstrationszwecke ver\u00f6ffentlicht werden. Eigentlich kein Problem, es sei denn, ein Entwickler einer Software findet es genial, bereits einen \u00f6ffentlich zug\u00e4nglichen privaten Schl\u00fcssel so im Internet zu finden und beschlie\u00dft, diesen gleich in seinem Produkt zu verwenden.<\/p>\n Ein Software-Entwickler kaufte sich im Sommer 2021 einen 2021 Hyundai Ioniq SE, ein kraftstoffsparendes Hybrid-Fahrzeug mit Funktionen wie kabelloses Android Auto\/Apple CarPlay, kabelloses Aufladen von Handys, Sitzheizung und einem Schiebedach. Wie es sich f\u00fcr interessierte Entwickler geh\u00f6rt, begann er mit dem Infotainment-System zu spielen und zu experimentieren. In diesen Blog-Beitrag<\/a> beschreibt er, wie er\u00a0 in der Lage war, die Firmware des Infotainment-Systems zu knacken. Dabei stie\u00df er auch in Dateien, die er aus dem Internet (von dieser Hyundai MOBIS Open Source-Seite<\/a>) heruntergeladen hatte, und durch ein per Brute-Force geknacktes Passwort entpacken konnte, auf einen privaten Schl\u00fcssel.<\/p>\n Es stellte sich heraus, dass der Verschl\u00fcsselungsschl\u00fcssel in einem Skript der erste AES 128bit CBC-Beispielschl\u00fcssel ist, der im NIST-Dokument SP800-38A aufgef\u00fchrt ist. Die Annahme, dass so ein Beispiel-Key niemals in die Produktion Eingang finden k\u00f6nnte, erwies sich als Trugschluss. Der Beitrag ist etwas l\u00e4nglich, wie ich es verstanden habe, konnte der Entwickler alle ben\u00f6tigten Informationen per Internet und Hacking-Tools herausfinden. Ende April 2022 war er dann in der Lage, ein Update f\u00fcr sein Fahrzeug f\u00fcr Tests zu nutzen. In diesem Beitrag<\/a> beschreibt er dann, wie er sein Auto mit dem gewonnenen Wissen mit einer Backdoor versehen und f\u00fcr eigene Zwecke nutzen konnte. Sch\u00f6ne neue Welt der PKW-Software.<\/p>\n \u00c4hnliche Artikel:<\/strong> Software-Sicherheit in Autos – ein brisantes Thema. Auf Plattformen wie TikTok feiert ein Trend, als Kia-Challenge oder Kia-Boys, fr\u00f6hliche Urst\u00e4nde – es geht darum Fahrzeuge von Kia oder Hyundai per USB-Stick zu klauen. Und ich bin auf die n\u00e4chste Schlamperei … Weiterlesen In den USA kam die Polizei einem merkw\u00fcrdigen Vorgang auf die Spur: In St. Petersburg in Florida wurden, laut Golem<\/a>, im Juli 56 Autos gestohlen. 23 davon geh\u00f6rten zu den Marken Kia und Hyundai. 41 Prozent der Autodiebst\u00e4hle auf zwei Marken, die zum gleichen Konzern geh\u00f6ren? In Milwaukee waren es sogar 66 Prozent, wie man hier<\/a> lesen kann. Das kam der Polizei spanisch vor und es gab bald die Aufkl\u00e4rung.<\/p>\n
![\"Kia-Challenge](\"https:\/\/i.imgur.com\/gceE2Fx.png\" "\\"Kia-Challenge")
<\/a>(Quelle: YouTube)<\/p>\nPrivater Key von Hyundai im Internet<\/h2>\n
![\"Private](\"https:\/\/i.imgur.com\/LGpr2Bz.png\" "\\"Private")
<\/p>\n
\nDatensammlung bei Tesla-Fahrzeugen<\/a>
\nSoftware: Unser Grab als PKW-Besitzer der Zukunft?<\/a>
\nZum Nachdenken: Softwaresicherheit in modernen Autos<\/a>
\n60 Jahre Software-Entwicklung: Ein Alptraum, der mit grottiger Qualit\u00e4t und im Chaos endet<\/a>
\nDigitalisierung Deutschland: Patientendaten in Praxissoftware einsehbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"