Die beste Absicherung nutzt wenig, wenn das verwendete Kommunikationsmittel anfällig ist. Ein Problem, dem sich nun die Hersteller verschiedener Geräte stellen müssen, deren Entsperrmechanismus auf den Bluetooth-Low-Energy-Standard setzt (Bluetooth LE).

Denn Forscher der NCC Group haben eine Möglichkeit entdeckt, wie sich dieser Übertragungsweg über eine Relay-Attacke nutzen lässt, um viele Sicherheitsmechanismen auf Zielgeräten zu umgehen. Anfällig sind nicht nur Smart-Home-Geräte wie etwa vernetzte Türschlösser, sondern auch Teslas Model 3 und wahrscheinlich auch Model Y. Die Behebung der dahinterliegenden Schwäche bei der Absicherung für nähebasierte Authentifizierung gestaltet sich schwierig.

Angriff mit Weiterleitung

Bei einer Relay-Attacke fängt ein Angreifer die Kommunikation zwischen zwei Stellen ab und manipuliert sie gegebenenfalls in seinem Sinne. Im Falle der Tesla-Autos geht es um das Signal zwischen dem Autoschlüssel und dem Auto. Gegen Angriffe dieser Art funktioniert Schutz üblicherweise durch die teilweise Verschlüsselung der Kommunikation und durch eine Toleranzgrenze für die Übertragungszeit, da die manipulierten Datenpakete später ankommen.

Das Angriffstool der NCC Group operiert allerdings auf der verschlüsselten Ebene (Link Layer) und kann auch Parameterveränderungen für die Übertragung erkennen und darauf reagieren. Gleichzeitig manipuliert es die Daten an sich nicht, sondern leitet sie nur weiter. Die dadurch verursachte Latenz liegt bei acht Millisekunden, was klar innerhalb der Toleranzzeit für die Zustellung liegt.

Model 3 und Model Y nutzen ein nähebasiertes Entsperrsystem. Zuvor autorisierte Geräte – etwa das Handy oder ein eigener Autoschlüssel – müssen sich in unmittelbarer Nähe des Wagens befinden, woraufhin dieser automatisch entsperrt wird. Die Distanz misst das System des Autos über die Stärke des Bluetooth-Signals.

Fernangriff denkbar

Den Forschern ist es gelungen das Signal eines autorisierten iPhones, das selbst nicht mehr in Bluetooth-Reichweite zum Auto war, abzufangen und über zwei Transmitter weiterzuleiten, um einen Tesla Model 3 (Baujahr 2020) erfolgreich aufzusperren. Sie gehen davon aus, dass dies auch bei einem Model Y und auch unter Verwendung eines Autoschlüssels anstelle eines Handys möglich ist. Ebenso halten sie es für machbar, eine Fernattacke durchzuführen, bei welcher das Signal des Smartphones oder Autoschlüssel über das Internet an ein Relay-Gerät übertragen und von diesem wieder per Bluetooth LE verbreitet wird.

Den gleichen Angriff hat NCC auch schon erfolgreich an anderen Geräten, wie etwa Smart Locks, getestet. Sie empfehlen die Integration neuer Sicherheitsmechanismen, etwa notwendige Nutzerinteraktion zur Bestätigung einer Entsperrung oder eine alternative, sicherere Methode zur Entfernungsmessung, die aber Änderungen an der Hardware erfordert.

Einfache Absicherung für Teslas

Bis die Hersteller, die softwareseitig nachbessern wollen, Updates liefern, obliegt es ihnen nun, ihre Kunden zu informieren, um selbst Maßnahmen setzen zu können. Im Falle der Teslas haben Besitzer die Option, eine PIN-basierte Wegfahrsperre einzurichten. Ist diese aktiviert, so könnte ein Angreifer mit der Relay-Attacke zwar immer noch potenziell das Auto aufsperren, ohne Kenntnis des Codes aber nicht damit wegfahren.

Technische Details zur Angriffsmethode wurden aus Sicherheitsgründen nicht veröffentlicht. Doch selbst wenn Kriminelle selbst herausfinden, wie sich die Attacke durchführen lässt, ist aufgrund des beachtlichen Aufwands nicht von massenhaften Einbrüchen auszugehen. Für den Fall der Fälle empfiehlt sich dennoch die Aktivierung der "PIN to Drive"-Funktion. (gpi, 19.5.22)