CCCAC :: Keyless Klau

Chaos Computer Club Aachen

English version

tl;dr

Einleitung

Bei „Keyless Go“ handelt es sich um Systeme, die es erlauben eine Autotür zu öffnen und den Motor zu starten, ohne dass man am Funkschlüssel einen Knopf drücken muss. In Türgriffen und Innenraum sind Sensoren integriert, die eine Handberührung erkennen. Wenn eine Berührung erkannt wird, weckt das Auto den Schlüssel über ein Funksignal auf, und führt eine bidirektionale Kommunikation mit diesem. Wenn das System feststellt, dass der Abstand zwischen dem Auto und dem Schlüssel kurz genug ist, wird die Tür geöffnet.

Untersuchungen

Wir wurden ziemlich schnell auf das Paper „Relay Attacks on Passive Keyless Entry and Start Systems in Modern Cars“ von Aurélien Francillon, Boris Danev und Srdjan Capkun aufmerksam, dass verschiedene Angriffe auf mehrere Systeme gut beschreibt.

Eine wichtige Erkenntis: Es reicht, das 125 kHz-Signal vom Auto zum Schlüssel zu verlängern, das 433 MHz-Signal kann weiterhin durch den Freiraum übertragen werden. Das hat uns zuerst verwundert, ist aber plausibel: Beim LF-Signal befindet man sich immer im Nahfeld, bedingt durch die große Wellenlänge. Im Nahfeld nimmt die Signalstärke mit der vierten Potenz der Entfernung ab. Beim UHF-Signal nimmt die Signalstärke (etwa) mit der zweiten Potenz der Entfernung ab. Deswegen kann die Entfernung besser über das LF-Signal abgeschätzt werden.

Um die allgemeinen Systemeigenschaften zu ermitteln, haben wir die Funksignale eines Keyless-Go-Systems aufgezeichnet. Wie erwartet, sendet das Auto auf (genau) 125 kHz (LF) und der Schlüssel im 433 MHz-Band (UHF).

Das LF-Signal wird amplitudenmoduliert. Dabei ist die relative Bandbreite auffallend groß: Die Symbole sind 128μs breite Rechtecke, das sind gerade mal 16 Schwingungen. Bei dem Relais-Angriff muss also für sehr schnelle Einschwingvorgänge gesorgt werden.

Das UHF-Signal auf 434,35 MHz wird frequenzmoduliert. Die normale Funkschlüssel-Funktion (mit Taste) sendet mit einer deutlich höheren Amplitude und auf einer anderen Frequenz. Deswegen kann man davon ausgehen, dass Funkschlüssel und Keyless-Go zwei getrennte Systeme innerhalb des Schlüssels sind.

Leider konnten wir die beiden Signale nicht zeitsynchron aufzeichnen, also kann das Timing des Protokolls nicht ermittelt werden. Es fällt aber auf, dass beide Geräte im zweiten Sendeburst mit verringerter Intensität senden. Vermutlich handelt es sich hierbei um einen Intensitäts- oder Linearitäts-Test.

Relais

Nach verschiedenen Vorversuchen ist es uns schließlich gelungen eine Relais-Hardware zu bauen, die das Signal des Fahrzeugs mit ausreichender Genauigkeit an den Schlüssel weitergibt. Die erste erfolgreiche Öffnung konnten wir dabei am 7.April 2016 (Bericht in Auto Bild Nr. 18 2016) mit einer noch kabelgebundenen Version erreichen.

Seit dem haben wir diesen Proof of Concept zu einem bei weitem nicht perfekten, aber durchaus praktikablen drahtlosen, batteriebetriebenen Relais ausgebaut, das zuverlässig in der Lage ist, Keyless Go Signale zu Übertragen.

Das Probingsignal des Fahrzeugs wird hierbei von einer selbstgewickelten 125kHz-Rahmenantenne empfangen, dannach verstärkt und in einen günstigen 5,8GHz Modellbau-FPV-Sender eingespeist. Wir haben festgestellt, dass sich diese hervorragend dafür eignen, beliebige Signale geringer Bandbreite zu übertragen, da das Eingangsignal offenbar widererwarten nicht durch etwaige Signalprocessingelektronik verfremdet wird.

In der Nähe des anzugreifenden Fahrzeugs befindet sich der dazugehörige Empfänger, indem das Signal nach der Demodulation erneut verstärkt und mithilfe einer zweiten, baugleichen LF-Antenne abgestrahlt wird.

Nach einigen Schwierigkeiten mit der LF-PA ist uns aufgefallen, dass mit ein wenig Einbußen bei der Angreifer-zu-Schlüssel-Reichweite durchaus auf die Verstärkerstufe verzichtet werden kann. Sowohl die der Vorverstärker, als auch die Endverstärker basieren auf dem Amplifier IC AD8129 von Analog Devices (Siehe Schaltbild).

Seite A
A-Seite
Seite B
B-Seite

Impact

„Wenn das funktioniert will ich ein neues Auto.“ - Betroffene zu ihrem Partner c.a. 30s vor erfolgreicher Öffnung ihres 2016er Ford

In diversen Feldversuchen lies sich jedes vorgefundene Keyless Go Fahrzeug öffnen und starten. Eine genaue Liste gibt es in der Hall of Shame.

Einschränkung

Dies gilt mit einer Außnahme: Jedes untersuchte Audi Modell blieb verschlossen. Dies kann unterschiedliche Gründe haben, wie beispielsweise das Senden des Probingsignals auf einer anderen Frequenz. Unser Versuchsaufbau ist auf 125kHz abgestimmt, und ist bei starker Abweichung von dieser wirkunglos. Hierbei ist anzumerken, dass dies nicht bedeutet, dass Audi-Fahrzeuge prinzipiell weniger leicht durch einen Angreifer zu öffnen sind, als die anderer Hersteler, lediglich, dass in diesen ein anderes System zum Einsatz kommt. Bei spontan auftretender Langeweile werden sicherlich noch Daten hierzu folgen. Wir würden uns natürlich über Informationen und Aktionen aus der Community freuen.

Beispiel Angriffszenario

Ein praxisnahes Angriffszenario ergibt sich zum Beispiel in einer Einkaufssituation. Der Täter wartet auf dem Parkplatz eines Ladens auf eine ankommendes Fahrzeug mit Keyless Go System. Das Opfer steigt aus dem Fahrzeug aus und geht Einkaufen. Ein Komplize des Angreifers verfolgt das Opfer in den Laden mit der B-Seite des Umsetzers. Diesen hält er beispielsweise in einer Einkaufstüre in die Nähe der Hand- oder Hosentasche des Opfers. Der erste Angreifer begibt sich währenddessen mit der A-Seite zum Auto des Opfers, richtet die Antenne aus und versucht das Fahrzeug zu öffnen. Das daraufhin ausgesendete Keyless-Entry-Signal wird zur B-Seite übertragen und an den Schlüssel abgegeben. Der Funkschlüssel sendet nun seinen Öffnungscode zum Auto und, sollte sich das Auto in seiner Reichweite befinden, entriegelt die Tür. Um das Fahrzeug zu bewegen setzt der Angreifer sich nun hinein und startet das Auto genau wie zur Öffnung mit Hilfe des Keyless-Go-Systems. Nun ist er in der Lage es an einen für ihn sicheren Ort zu fahren.

Aufwand

Wir sind der Ansicht, dass jeder mit ein wenig Grundwissen in Analogtechnik in der Lage ist eine ähnliche Schaltung in wenigen Arbeitstagen zu entwickeln und zu konstruieren.

Mit der Benötigten Hardware

sind wir bei Materialkosten von etwa 90€ geblieben. Im Internet werden vergleichbare Systeme mit offensichtlich krimineller Zielgruppe für c.a. 6000€ bis 40000€ gehandelt.

In Anbetracht des geringen Arbeits- und Materialaufwandes sehen wir ein hohes kriminelles Potential.

Gegenmaßnahmen

Uns sind zur Zeit keine wirksamen systemischen Gegenmaßnahmen bekannt. Autobesitzern empfehlen wir Keyless-Go und Keyless-Entry-Systeme nach Möglichkeit abzuschalten oder den Schlüssel in einem abschirmenden Metallgefäß zu verwahren. Hierbei ist besonders hervorzuheben, dass es bei einigen Modellen unverständlicherweise nicht möglich ist die Keyless-Systeme abzuschalten.

Weil das System keine Interaktion am Schlüssel erfordert, ist es grundsätzlich anfällig für Relais-Angriffe. Die Entfernungsmessung kann nur abgesichert werden, wenn Laufzeitmessung in Verbindung mit Kryptographie verwendet wird.

Aus signaltheoretischen Grundlagen ergibt sich, dass die Entfernungsauflösung durch die Bandbreite begrenzt ist. So könnte die Entfernung mit üblichen 125kHz-Systemen nur mit einer Genauigkeit von Kilometern bestimmt werden.

Für die von den Automobilherstellern angestrebte Genauigkeit im Meter-Bereich bräuchte man eine Bandbreite in der Größenordnung von 100 MHz, für die nur Lizenzen bei Ultra-Wideband-Betrieb oder im Radarfrequenzbereich ab 24 GHz zu bekommen sind. Allein die dafür notwendige Analogtechnik würde zu einer enormen Kostensteigerung führen.

Disclosure

Uns ist es wichtig, mit einer einfachen, billigen Implementation eines Angriffes auf diese seit Jahren bekannte, jedoch von den Herstellern ignorierte Sicherheitslücke aufmerksam zu machen.

Dennoch möchten wir nicht mehr Schaden anrichten als nötig und vor allem unbedarfte Nutzer nicht zusätzlich in Gefahr bringen, gerade weil einfache Gegenmaßnahmen nicht immer möglich sind. Deshalb haben wir uns auch dagegen entschieden, die Pläne und Layouts vollständig zu veröffentlichen. Möglicherweise wird das in Zukunft noch geschehen. Für den Moment veröffentlichen wir den Schaltplan unserer ersten Version, bei der die beiden Seiten durch ein Kabel verbunden sind. Diese Schaltung ist einfacher aufzubauen und zuverlässiger als die drahtlose Variante, zudem ist das kriminelle Missbrauchpotential deutlich geringer. Interessierten Ingenieuren, Journalisten oder Hackern, werden wir die Beschriftung nach Absprache zur Verfügung stellen. An dieser Stelle sei nochmal darauf hingewiesen, dass jeder mit ein wenig Fachkenntnis und Zeit in der Lage ist auf ähnliche oder bessere Ergebnisse zu kommen.

Kontakt

Reaktionen

Presseberichte

Resources

Hall of Shame

Hersteller Modell KG Abschaltbar Wann getestet
Ford EcoSport ? 2016-04-07
BMW 218i ? 2016-04-07
Renault Talisman ? 2016-05-03
Ford S-Max ? 2016-05-03
Ford S-Max 2016 ? 2016-10-12
Renault Mégane GT Cabrio 2011 ? 2016-10-12
Nissan Quashqai ? 2016-10-12