Bluetooth Low Energy-Schwachstelle und der Tesla-Auto-Klau

Sicherheit (Pexels, allgemeine Nutzung)[English]In der Bluetooth Low Energy-Implementierung gibt es eine Schwachstelle, die einen Remote-Zugriff auf entsprechende Bluetooth-Geräte (Türschlösser, elektronische Geräte und Autos) ermöglicht. Unter anderem musste der US-Autobauer Tesla zugeben, dass seine Elektroauto-Modelle Tesla Model 3 und Tesla Y auf diese Weise entsperrt, gestartet und so gestohlen werden können.


Anzeige

Bluetooth Low Energy (BLE) Schwachstelle

Bluetooth Low Energy (BLE) ist ein Standardprotokoll für den Datenaustausch zwischen Geräten, das von Unternehmen für die Proximity-Authentifizierung zur Entriegelung von Millionen von Fahrzeugen, intelligenten Schlössern in Wohngebäuden, Zugangskontrollsystemen für gewerbliche Gebäude, Smartphones, Smartwatches, Laptops und mehr eingesetzt wird.

Bluetooth Low Energy (BLE) vulnerability

Sicherheitsforscher der NCC Group haben den weltweit ersten Link-Layer-Relay-Angriff auf Bluetooth Low Energy (BLE) durchgeführt, wie ich obigem Tweet und dieser Meldung der Entdecker entnehme. Die Sicherheitsforscher konnten mit ihrem Proof-of-Concept (PoC) beweisen, dass sehr beliebte Produkte derzeit eine unsichere BLE-Proximity-Authentifizierung in kritischen Anwendungen verwenden. Durch die Weiterleitung von Daten aus dem Basisband auf der Verbindungsschicht umgeht der Hack bekannte Schutzmaßnahmen für Relay-Angriffe, einschließlich verschlüsselter BLE-Kommunikation, da er die oberen Schichten des Bluetooth-Stacks und die Notwendigkeit der Entschlüsselung umgeht.  Sultan Qasim Khan, Principal Security Consultant und Forscher der NCC Group, der diese Untersuchung durchgeführt hat, schreibt dazu:

Die Stärke dieses Angriffs liegt nicht nur darin, dass wir ein Bluetooth-Gerät davon überzeugen können, dass wir uns in seiner Nähe befinden – selbst aus Hunderten von Kilometern Entfernung -, sondern auch darin, dass wir dies selbst dann tun können, wenn der Hersteller defensive Maßnahmen wie Verschlüsselung und Latenzbegrenzung ergriffen hat, um diese Kommunikation theoretisch vor Angreifern aus der Ferne zu schützen.

Alles, was es für einen erfolgreichen Angriff braucht, seinen 10 Sekunden Zeit – und diese Angriffe können endlos wiederholt werden. Laut den Ausführungen der Forscher umgeht der durchgeführte Hack typische Gegenmaßnahmen gegen die Remote-Entriegelung von Fahrzeugen. Das verändert die Art und Weise, wie Ingenieure und Verbraucher über die Sicherheit von Bluetooth Low Energy-Kommunikation denken müssen, schreiben die Sicherheitsforscher und fordern bessere Schutzmaßnahmen gegen solche Angriffe. Das Technical Advisory – BLE Proximity Authentication Vulnerable to Relay Attacks enthält weitere Informationen.

Tesla-Klau per Remote-Zugriff

Was der ganzen Geschichte besondere Aufmerksamkeit beschert, ist der Umstand, viele Autohersteller BLE zur Entriegelung ihrer Fahrzeuge einsetzen. Malwarebytes hat zum 17. Mai 2022 den Artikel Car owners warned of another theft-enabling relay attack zum Thema veröffentlicht und sieht einen Dammbruch in Sachen Autodiebstahl über solche Relay-Angriffe. Eine Person begibt sich in die Nähe des elektronischen Schlüssels, mit dem das Fahrzeug entsperrt und gestartet werden kann. Dann wird das aufgefangene Signal des Fahrzeugschlüssels per Funk an einen zweiten Empfänger weitergeleitet. Dieser sendet dann die Signale zum Entsperren des Fahrzeugs. Nachfolgendes Video zeigt das Prinzip dieses seit Jahren bekannten Angriffs auf Keyless Fahrzeugsysteme. Mit der BLE-Schwachstelle funktionieren diese Angriffe möglicherweise aber über größere Strecken.

(Quelle: YouTube)

Das dürfte Fahrzeughersteller und Autobesitzer schwer treffen. Betroffen ist auch der Branchenprimus Tesla, dessen Elektrofahrzeugmodelle Model 3 und Tesla Y diese BLE-Technik zum Entsperren verwenden. Das auf Bluetooth Low Energy (BLE) basierende passive Zugangssystem ermöglicht Benutzern mit einem autorisierten Mobilgerät oder Schlüsselanhänger das Fahrzeug aus der Nähe zu entriegeln und zu bedienen, ohne dass eine Benutzerinteraktion am Mobilgerät oder Schlüsselanhänger erforderlich ist. Das System erkennt ab einer gewissen Entfernung das mobile Gerät oder den Schlüsselanhänger anhand der Signalstärke (RSSI) und über Latenzzeitmessungen von kryptografischen Challenge-Response-Operationen, die über BLE durchgeführt werden.

Gelingt es aber einem Angreifer ein Relaying-Gerät innerhalb der BLE-Signalreichweite eines Mobiltelefons oder Schlüsselanhängers zu platzieren, kann er einen Relay-Angriff durchführen, um das passende, d.h. autorisierte, Fahrzeug (Tesla Model 3 oder Model Y) zu entriegeln und zu bedienen.


Anzeige

Die NCC Group hat ein Tool entwickelt, mit dem ein neuartiger BLE-Relay-Angriff auf der Verbindungsschicht durchgeführt werden kann, bei dem die zusätzliche Latenzzeit innerhalb des Bereichs der normalen GATT-Antwortzeitschwankungen liegt und der in der Lage ist, verschlüsselte Kommunikation auf der Verbindungsschicht weiterzuleiten. Dieser Ansatz kann die bestehenden Abschwächungen von Relais-Angriffen durch Latenzbegrenzung oder Verschlüsselung auf der Verbindungsebene umgehen und Lokalisierungsschutzmaßnahmen umgehen, die üblicherweise gegen Relais-Angriffe mit Signalverstärkung eingesetzt werden. Da die durch diesen Relais-Angriff hinzugefügte Latenzzeit innerhalb der Grenzen liegt, die vom passiven Zugangssystem des Model 3 (und wahrscheinlich auch des Model Y) akzeptiert werden, kann sie dazu verwendet werden, diese Fahrzeuge zu entriegeln und zu fahren, während sich das autorisierte Mobilgerät oder der Schlüsselanhänger außerhalb der Reichweite befindet.

Die NCC-Group hat dazu das Technical Advisory – Tesla BLE Phone-as-a-Key Passive Entry Vulnerable to Relay Attacks veröffentlicht. In einem Versuch wurde der Angriff auf dem Model 3 getestet. Das Model Y ist wahrscheinlich auch betroffen, schreiben die Forscher. Der Angriff war mit einem iPhone 13 mini und der iOS-App Version 4.6.1-891 unter der Fahrzeugsoftware v11.0 erfolgreich. Bei dem Testaufbau wurde das iPhone im obersten Stockwerk am Ende eines Hauses platziert, etwa 25 Meter vom Fahrzeug entfernt, das sich in der Garage auf Bodenhöhe befand. Das telefonseitige Relaisgerät wurde in einem anderen Raum als das iPhone aufgestellt, etwa 7 Meter vom Telefon entfernt. Das fahrzeugseitige Relaisgerät war in der Lage, das Fahrzeug zu entriegeln, wenn es sich in einem Radius von etwa 3 Metern um das Fahrzeug befand.

Ich erinnere mich an einen alten BMW eines lockeren Bekannten, der immer an der Straße stand. Das Fahrzeug fiel mir auf, weil dessen Lenkrad mit einer mechanischen Kralle, die eingelegt werden konnte, gegen Diebstahl gesichert war. Da traute jemand den Fahrzeugherstellern wohl nicht. Aber der BMW ist längst weg – eh, nicht geklaut, sondern gegen ein Modell von Daimler ausgetauscht worden. Vielleicht kommen wir bald wieder zu solchen Verhältnissen. Ich hatte ja mal den Beitrag Software: Unser Grab als PKW-Besitzer der Zukunft? hier im Blog. Die Einschläge kommen näher.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Bluetooth Low Energy-Schwachstelle und der Tesla-Auto-Klau

  1. Jürgen Wondzinski sagt:

    Ah. Wieder mal kann man mit "Tesla" als Keyword super Clicks generieren. Die hätten auch BMW etc schreiben können. Aber ne, auf Tesla rumhacken ist irgendwie zum Sport geworden.
    Immerhin ist der Schaden aber nicht groß, denn man kann jeden Tesla auch noch per "PIN to Drive" absichern, d.h. der Verbrecher kann das Fahrzeug zwar öffnen, aber nicht wegfahren, da er die Pin-Eingabe nicht umgehen kann. Ist zwar im täglichen Betrieb am Anfang etwas störend, aber man gewöhnt sich dran, ähnlich wie beim Handy.
    Mal schaun, wann Tesla das per "Rückruf", äh OverTheAir Software Update übernacht beseitigt.

  2. Paul sagt:

    Also daß man seinen Keyless Schlüssel in eine wirklich dichte Blech-Dose legen sollte kam doch schon vor Jahren? Und es ist doch auch kein Problem von BLE.

    Damals gab es auch auch einen sehr billigen Gegenvorschlag:
    Das Keyless deaktivieren solange die Hersteller zu geizig sind einen Bewegungs-Melder ein den Keyless-Key einzubauen. Der würde auch die Lebensdauer der (natürlich nicht selbstwechselbaren) Batterie merklich erhöhen… Vermutlich brauchen die Hersteller diesen Umsatz. Wie damals als sie die grandiose Idee hatten, die Seriennummer bei den Autoradios einzusparen und diese dann massenweise gestohlen wurden…

    • Jürgen Wondzinski sagt:

      Du wirst lachen, aber der Tesla KeyFob für Model 3 und Y hat genau das drin. Ist auch BLE basiert und schaltet sich nur bei Bewegung ein.

  3. Tesla sagt:

    Mal wieder FUD vom feinsten. Wo sind denn die ganzen geklauten Teslas? Wie? Gibt keine? Na so was. Clickbait at its best.

    • Fluse sagt:

      Demnach müssen wir über Zero Day-Schwachstellen dann ja auch nicht informiert werden. Ist ja noch nichts passiert.

  4. Rainer Welsch sagt:

    Ein Verweis zur aktuellen Erkenntnis eines nicht abschaltbaren Bluetooth LE in iPhones und sicherlich auch anderen Smartphones, über die Tesla Fahrer statt der Keycard gern ihre PKWs entsperren, fehlt leider im Beitrag. Nette weitere Angriffsfläche, denn kaum ein Smartphone Junkie wird sein Gerät "BLE sicher" verpacken.

    https://www.borncity.com/blog/2022/05/18/forscher-malware-kann-auf-ausgeschalteten-iphones-laufen/

  5. Mich@ sagt:

    warum regen sich alle über "Clickbait" bei Tesla auf? Wenn Tesla veröffentlicht das an der Lücke was dran ist und sie diese beheben – warum sollte man dann über BMW schreiben? Was stimmt nicht mit euch? und wenn Tesla so oft negativ in der Presse steht hat das nichts damit zu tun das sie tolle Produkte produzieren und vermarkten, sondern das sie es verdienen! Erinnert mich an die Apple Fanboys die sich immer trollen wenn über Apple etwas negatives geschrieben wurde wie z.b. das kurmme Display oder Probleme mit Software, Akku etc..
    Seit froh es publiziert wird bevor eure e-bitch geklaut wird!

    • Bernd Bachmann sagt:

      Na ja, ist schon auffällig, dass häufig, wenn etwas "auch" Tesla betrifft, eben "nur" über Tesla berichtet wird. Aber Tesla kann ja gar nichts besseres passieren, als im Gespräch zu bleiben, selbst wenn es auf diese Weise ist. Herr Musk hat es immer schon verstanden, andere für seine Firma kostenlos Werbung machen zu lassen.

      (Disclaimer: Ich fahre keinen Tesla und werde mir auch nie einen kaufen, weil die Wagen schlicht weit an meinen persönlichen Bedürfnissen und Vorstellungen vorbeigehen.)

    • Günter Born sagt:

      Nun ja, zum Thema "Clickbait" stehe ich drüber und antworte i.d.R. nicht. Die Leute, die diesen Begriff gerne in den Raum werfen, sind i.d.R. nicht die Personen, die irgend ein redaktionelles Angebot über Jahre aufrecht erhalten haben oder wollen. Irgendwo gehört auch die Verpackung zum Inhalt.

      Es gibt hier im Blog Beiträge, da recherchiere und schreibe ich Stunden – und am Ende des Tages werden die 300 – 500 Mal abgerufen, weil die Eye-Catcher im Titel oder im Anreißertext fehlen, oder das Thema nicht tangiert, mir aber wichtig ist. Andere Beiträge mit den richtigen Stichwörtern ziehen sofort das Leser-Interesse auf sich. Nur mal ein Blick in die täglich schwankenden Besucherzahlen – es kommt auf eine gute Mischung an, wenn man als Blogger überleben will. Die Spitze Anfang Mai war durch den Artikel über die von russischen Militärs geklauten Traktoren aus der Ukraine, die dann per DRM gesperrt wurden – erwartet hatte ich vielleicht 1.000 Abrufe – möglicherweise wurde der Beitrag in diversen Foren weiter gereicht und kam binnen Stunden auf mittlerweile 90.000 Abrufe.

      Besucherstatistik.

      Zum aktuellen Artikel: Gerade nachgeschaut – trotz des "Clickbait Tesla" dümpelt der Beitrag bei gerade mal über 700 Abrufen – das ist quasi nichts. Ich hätte besser einen Spaziergang im Wald unternommen – aber a priori lässt sich nicht immer abschätzen, wie ein Beitrag läuft.

      Ist halt die Gretchenfrage: Versuche ich eine gewisse Relevanz zu erhalten – dann muss ich entsprechend agieren und auch eine Reihe Beiträge mit 700 Abrufen akzeptieren. Die Alternative: Ich stelle das Bloggen ein, und lasse den Content noch eine Weile für die Leserschaft stehen.

      Zurück zum konkreten Fall: Da hat der Entdecker der BLE-Schwachstelle explizit einen Versuch mit Tesla gefahren sowie ein Adversory dazu herausgegeben. Zum Kontext gehört auch, das Tesla m.W. bis vor kurzem noch bestritten hat, dass diese Hacks überhaupt möglich sind.

      Ob Teslas jetzt in Massen geklaut werden oder nicht, ist schlicht nicht relevant. Ob BMW, die hier genannt wurden, betroffen sind, kann ich nicht sagen, da diese Modelle vom Entdecker der BLE-Schwachstelle schlicht nicht getestet wurden. Selbst wenn die BLE einsetzen, heißt das noch nicht, dass der obige Hack dort auch funktioniert – die Firmware könnte über Latenzmessungen etc. einen Angriff erkennen und blockieren. Aber das Ziel des Beitrags ist auch, auf bestimmte (imho ungute) Entwicklungen hinzuweisen. Es geht um Komfort versus Sicherheit – eine Abwägung, die uns sicherheitstechnisch doch seit Jahren an allen Ecken und Enden auf die Füße fällt.

      War mal kurz die Sicht von der anderen Seite des Monitors – und ja, ich blogge noch, weil es mir auch weiterhin Spaß macht. Damit ist das Thema Clickbait und die restliche Kommentierung hier zum Beitrag für mich abgehakt ;-).

      • Ralf S. sagt:

        Vielen Dank! Sehr interessante Stellungnahme von "hinter den Kulissen". Vor allem – wie immer – eine klare und deutliche Einstellung; sehr gut! Diese muss nicht unbedingt jedem gefallen und das ist auch gut so. Das www ist groß genug, dass jeder "seine Seite" findet … Und übrigens, in diesem Zusammenhang auch immer wieder interessant, der "Dunning-Kruger-Effekt" (https://de.wikipedia.org/wiki/Dunning-Kruger-Effekt) schlägt wohl bei jedem Un- und Teilwissenden schneller zu, als einem lieb sein dürfte … ;-) Also, alle einen Gang zurückschalten, ruhig bleiben, rational und sachlich denken und sich nach Möglichkeit in den/die andere(n) hineinversetzen und immer daran denken "der/die andere(n) könnte(n) (!!) recht haben – und ich evtl. nicht". Täte übrigens auch in vielen Bereichen der aktuellen, tonangebenden Wissenschaft(en) und ihrer Protagonisten hin und wieder ganz gut. Stichwort: Über den Tellerrand schauen und alles – auch und gerade die eigenen Erkenntnisse und Ergebnisse – (selbst)kritisch hinterfragen und immer wieder reflektieren!

    • Anonymous sagt:

      Warum wird bevorzugt über Apple und Tesla "berichtet" und im Titel erwähnt? Weil diese Unternehmen sehr erfolgreich sind. Sind sie so erfolgreich weil sie so schlechte Produkte haben? Nein! Sie sind erfolgreich weil sie die besten Produkte haben! Anscheinend sind Fanboys anderer Hersteller so geil auf solche Berichte daß sich das Clickbait lohnt.

Schreibe einen Kommentar zu Paul Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.