PKW-Sicherheit: Kia-Challenge und Hyundai-Key im Web

Sicherheit (Pexels, allgemeine Nutzung)Software-Sicherheit in Autos – ein brisantes Thema. Auf Plattformen wie TikTok feiert ein Trend, als Kia-Challenge oder Kia-Boys, fröhliche Urstände – es geht darum Fahrzeuge von Kia oder Hyundai per USB-Stick zu klauen. Und ich bin auf die nächste Schlamperei gestoßen: Ein Blogger hat bei einer Suche im Web die privaten Keys für Software-Updates bei Hyundai-Fahrzeugen gefunden.


Anzeige

Kia-Challenge, knacke ein Auto

In den USA kam die Polizei einem merkwürdigen Vorgang auf die Spur: In St. Petersburg in Florida wurden, laut Golem, im Juli 56 Autos gestohlen. 23 davon gehörten zu den Marken Kia und Hyundai. 41 Prozent der Autodiebstähle auf zwei Marken, die zum gleichen Konzern gehören? In Milwaukee waren es sogar 66 Prozent, wie man hier lesen kann. Das kam der Polizei spanisch vor und es gab bald die Aufklärung.

Offenbar können die aktuellen Kias durch die Heckscheibe aufgebrochen werden, ohne dass ein Alarm ausgelöst wird. Danach knacken die i.d.R. minderjährigen Diebe einfach das Fahrzeug mittels eines USB-Kabels, welches in eine Buchse in der Lenksäule gesteckt wird, nachdem die Verkleidung abgerissen wurde, und machen Spritztouren. Diese werden dann gefilmt und auf Plattformen wie YouTube und Tiktok geteilt.

Kia-Challenge (Quelle: YouTube)

Es sieht so aus, als ob sich das Fahrzeug mit einfachen Mitteln starten und für Spritztouren verwenden lässt. Laut diesem Artikel weisen insbesondere Kia-Modelle aus den Jahren 2011 bis 2012 und Hyundai-Modelle aus den Jahren 2015 bis 2021 Schwachstellen auf, über die die Diebe die die Zündung einschalten und so die Sperre durch den Funk-Autoschlüssel umgehen können.

In den USA versuchen sich die Fahrzeughalter vor diesen Diebstählen durch ein Lenkradschloss (Stange, die ins Lenkrad eingeklemmt wird und abschließbar ist) zu schützen. Das verhindert, dass die Diebe die Fahrzeuge für größere Spritztouren mit Kurvenfahrten stehlen können. Golem und Stern berichteten über diesen Trend in den USA (in den Beiträgen finden sich weitere Details und Erklärungen). In Deutschland ist dies kein Thema, da Fahrzeuge seit dem 1. Januar 1998 eine Wegfahrsperre haben müssen.

Privater Key von Hyundai im Internet

Der Zugriff auf die Fahrzeug-Software von PKWs, z.B. für Updates, ist durch eine digitale Signatur geschützt, um Unbefugte von einer Manipulation abzuhalten. Der private Schlüssel zum Signieren wird dabei gut geschützt von den Herstellern aufbewahrt  – da kommt keiner heran. Denn wer den privaten Key besitzt, kann Software mit dem öffentlichen Schlüssel signieren. Maximal schützt ggf. noch ein Kennwort vor Missbrauch.

Private Key in Internet

Damit Interessierte das auch verstehen und Entwickler sich mit der Sachlage vertraut machen können, gibt es diverse Artikel im Internet – obiges Foto zeigt, dass dort auch private Schlüssel für Demonstrationszwecke veröffentlicht werden. Eigentlich kein Problem, es sei denn, ein Entwickler einer Software findet es genial, bereits einen öffentlich zugänglichen privaten Schlüssel so im Internet zu finden und beschließt, diesen gleich in seinem Produkt zu verwenden.


Anzeige

Ein Software-Entwickler kaufte sich im Sommer 2021 einen 2021 Hyundai Ioniq SE, ein kraftstoffsparendes Hybrid-Fahrzeug mit Funktionen wie kabelloses Android Auto/Apple CarPlay, kabelloses Aufladen von Handys, Sitzheizung und einem Schiebedach. Wie es sich für interessierte Entwickler gehört, begann er mit dem Infotainment-System zu spielen und zu experimentieren. In diesen Blog-Beitrag beschreibt er, wie er  in der Lage war, die Firmware des Infotainment-Systems zu knacken. Dabei stieß er auch in Dateien, die er aus dem Internet (von dieser Hyundai MOBIS Open Source-Seite) heruntergeladen hatte, und durch ein per Brute-Force geknacktes Passwort entpacken konnte, auf einen privaten Schlüssel.

Es stellte sich heraus, dass der Verschlüsselungsschlüssel in einem Skript der erste AES 128bit CBC-Beispielschlüssel ist, der im NIST-Dokument SP800-38A aufgeführt ist. Die Annahme, dass so ein Beispiel-Key niemals in die Produktion Eingang finden könnte, erwies sich als Trugschluss. Der Beitrag ist etwas länglich, wie ich es verstanden habe, konnte der Entwickler alle benötigten Informationen per Internet und Hacking-Tools herausfinden. Ende April 2022 war er dann in der Lage, ein Update für sein Fahrzeug für Tests zu nutzen. In diesem Beitrag beschreibt er dann, wie er sein Auto mit dem gewonnenen Wissen mit einer Backdoor versehen und für eigene Zwecke nutzen konnte. Schöne neue Welt der PKW-Software.

Ähnliche Artikel:
Datensammlung bei Tesla-Fahrzeugen
Software: Unser Grab als PKW-Besitzer der Zukunft?
Zum Nachdenken: Softwaresicherheit in modernen Autos
60 Jahre Software-Entwicklung: Ein Alptraum, der mit grottiger Qualität und im Chaos endet
Digitalisierung Deutschland: Patientendaten in Praxissoftware einsehbar


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu PKW-Sicherheit: Kia-Challenge und Hyundai-Key im Web

  1. Klaus sagt:

    Spannend. Mit so Dingen wie "extra Abo für Sitzheizung bei BMW" wird das in Zukunft noch mehr neugierige Kiddies zur Folge haben, im Grunde ein sehr guter Ansatz gegen die sonst grassierende allgemeine Verblödung.

    • Klaus sagt:

      Muss das etwas revidieren. Dachte zuerst, es wäre eine Datenverbindung via USB o.ä. und es würde dadurch IT-technisches Know How verbreitet, aber der USB Stecker wird offenbar nur als Hebel zum Betätigen des durch Abreißen der Verkleidung freigelegten Zündschlosses verwendet. Ein solches Kabel liegt heutzutage einfach in vielen Autos herum und wird deswegen als verfügbares Werkzeug verwendet, so kann ein Dieb auf das Mitbringen eines Schraubenziehers oder ähnlichem verzichten.

  2. Anonymous sagt:

    also haben die in den USA keine Wegfahrsperre und kein eingebautes Lenkradschloss?

    • Paul sagt:

      Warum sollte ein Autokonzern etwas einbauen das nicht Vorschrift ist, aber den Umsatz steigert.
      Die Kids klauen die Autos um sie gegen Wände zu knallen, um den Adrenalin Kick zu kommen
      Dank Airbags passiert ihnen nicht, aber der Wagen muss durch einen neuen ersetzt werden.

      Das ist wie damals, als die Autobahnradio Hersteller quick out erfanden und gleichzeitig die enormen Kosten der seit Jahrzehnten üblichen eingeprägten Serien Nummern einsparten…

    • Bernd Bachmann sagt:

      Erin Lenkradschloss hatte mein Wagen in den USA damals tatsächlich nicht. Ist länger her; keine Ahnung, ob das heute auch noch so ist.

  3. Ralf S. sagt:

    "Schöne neue Welt der PKW-Software."

    Wie wahr! Vor allem dann irgendwann in Verbindung mit dem autonomen Fahren, bei dem man ja dann während der Fahrt Kaffee trinken, Zeitung lesen, sich rasieren (…) können soll … Vor Kurzem ein Interview im Radio diesbzgl. mit einem Entwickler von Daimler gehört: "Wir sind der "Vision Zero" (also null Verkehrstote) in den letzten Jahren ein ganzes Stück näher gekommen. Mit der fortschreitenden Digitalisierung und vermehrtem Einsatz von hervorragend funktionierender KI, werden wir in Verbindung mit dem autonomen Fahren, dieses Ziel auf absehbare Zeit erreichen können." Schon da musste ich nur mitleidig schmunzeln, aber dann kam noch: "Ich wünsche mir, dass die Bevölkerung schon jetzt wesentlich mehr Vertrauen für das autonome Fahren aufbringt, denn es wird einen unglaublichen Sicherheitsgewinn für alle Beteiligten im Straßenverkehr nach sich ziehen …" Da fiel mir dann nur noch die Bezeichnungen "Tagträumer" und "Traumtänzer" ein. Der obige Artikel hat es gerade wieder erneut bestätigt …

    Ich halte dem Entwickler zugute, dass er eben Entwickler ist – und deshalb schon von der Natur der Sache her gesehen, für seine Sichtweise brennen muss und darf. Und eine "Manuela Mustermann:frau", wird ihm das natürlich wohl auch alles glauben. Und genau darin liegt aber auch das Problem, wie ich finde: Es wird der breiten Masse etwas vorgegaukelt (und gleichzeitig die wirkliche Realität vorenthalten) das sich wohl mit 99%iger Sicherheit nicht halten lässt …

  4. mw sagt:

    Ob das nun nur bei den asiatischen Herstellern so ist? Ich glaube das nicht. Es ist das klassische Paradoxon. Einerseits soll das Fahrzeug gegen unzulässige Manipulationen gesichert sein, abdererseits entziehen die Hersteller das Fahrzeug dem Eigentümer, indem Änderungen nicht mehr möglich sind. Ich möchte keinen fahrenden Computer mit all den bekannten Schwächen nutzen. Als langjährig erfahrender Ingenieur mit selbstfahrenden Flurförderzeugen, weiss ich um die Problematik. Noch ist es nicht üblich, Vulnerabilities im Automobil offensiv zu kommunizieren. Da werden dann Updates mehr oder weniger heimlich beim nächsten Service aufgespielt oder, noch schlimmer, online. Es ist eine schreckliche Tatsache, dass andere Leute die privaten Schlüssel zu meinem Eigentum besitzen, ob das nun Automobil, Notebook, Smartphone oder PC ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.