Replay-Attacke – Sicherheitslücke Funkfernbedienung – Unsere Erfahrungen und Fazit nach 2 Jahren intensiver Nutzung

Man liegt schlummernd im Wohnmobil, da klackt plötzlich das vertraute Geräusch der Zentralverriegelung, obwohl niemand der Insassen die Fernbedienung betätigt hat. Plötzlich geht die Fahrertür auf und jemand greift ins Fahrzeug oder steigt ein. Hierbei könnten die Insassen Opfer einer sogenannten Replay-Attacke geworden sein. Wir haben dagegen Vorkehrungen getroffen. Wie und warum beschreiben wir in unserem neuesten Artikel aus der Reihe „Sicherheit im Wohnmobil“. Wir schildern am Ende des Artikels unsere Erfahrungen und ein Fazit nach 2 Jahren intensiver Nutzung der „WiPro III safe.lock“ von Thitronik.


Was ist eine Replay-Attacke?

Der Fahrzeughalter öffnet und verschließt sein Fahrzeug mit der Funkfernbedienung. Dabei werden Funksignale mit verschlüsselten Codes vom Funkschlüssel an den Empfänger (das Fahrzeug) übermittelt. Stimmt der Verschlüsselungscode überein, gibt das Fahrzeugsystem die Zentralverriegelung frei. Die Funkübertragung kann in einem Umkreis bis mindestens 50 Meter von speziellen Empfangsgeräten aufgezeichnet werden. Wird das Öffnungssignal mit diesem Empfangsgerät aufgefangen und gespeichert, kann es später abgespielt werden („replay“). Dadurch kann das Fahrzeug mit entsprechender Ausrüstung ohne jedwede Gewalteinwirkung in Sekundenschnelle geöffnet und nach dem Einbruch wieder verschlossen werden. Eine Katastrophe für den Besitzer und ein Alptraum wegen der Meldung des Schadensfalles an die Versicherung.

Wie kann eine Replay-Attacke ablaufen?

  • Man liegt schlummernd im Wohnmobil, da klackt plötzlich das vertraute Geräusch der Zentralverriegelung, obwohl niemand der Insassen die Fernbedienung betätigt hat. Plötzlich geht die Fahrertür auf und jemand greift ins Fahrzeug oder steigt ein.
  • Man bricht vom Stellplatz zu einem Spaziergang auf und verriegelt das Wohnmobil mit der zentralen Funkfernbedienung. Bei der Rückkehr öffnet man auf dem gleichen Weg das Fahrzeug und wundert sich über den durchwühlten Innenraum. Nichts deutet auf ein gewaltsames Eindringen hin und dennoch sind Wertgegenstände verschwunden.

Nicht nur Mitglieder verschiedener Camping-Facebook-Gruppen schilderten erst kürzlich Vorfälle, die sich wie eine Replay-Attacke oder so ähnlich zugetragen haben. Auch ohne übermäßig ängstlich zu sein, sind das Szenarien, die kein Wohnmobilfahrer gern erleben möchte.

Was sagen die Hersteller?

Zu einer offiziellen schriftlichen Anfrage zu einer Replay-Attacke über die Fiat Professional Webseite gab es bisher keine Antwort. Auch konnte unserer langjähriger Fiat Professional Händler keinerlei Angaben über Änderungen in den Verschlüsselungssystemen machen. Uns wurde versprochen, dass wir umgehend Nachricht erhalten und werden dann in unserem Blog darüber berichten.


Demonstration einer Replay-Attacke*

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden


YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden


YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden


Erste Hilfe zur Verhinderung einer Replay-Attacke

Fahrzeug mit dem Schlüssel ausschließlich manuell ver- und entriegeln (gegebenenfalls Batterie aus dem Funkschlüssel entnehmen).

Wir sind auf dem Caravan Salon 2017 auf dieses heikle Thema aufmerksam geworden. Wie es scheint, bieten viele Fahrzeughersteller nicht genügend Schutz in der Funkübertragung, um die Zentralverriegelung dauerhaft sicher zu öffnen und zu schließen. Das Thema wurde bereits im August 2016 intensiv in den Medien behandelt, da zu diesem Zeitpunkt mehrere Mitarbeiter der Universität Birmingham und die deutsche Kasper & Oswald GmbH eine umfangreiche Veröffentlichung auf der amerikanischen Betriebssystem-Entwickler-Konferenz USENIX vorstellten und hierbei die Sicherheitslücken aufdeckten. Dabei wurden unter anderem auch die Basisfahrzeughersteller aus dem PSA-Konzern genannt. Konnten viele Fahrzeuge anderer Hersteller nur mit hohem Aufwand, tiefgründigem technischem Know-how und speziellem Equipment geöffnet werden, war es beim Kastenwagen Fiat Ducato ab Baujahr 2006 (sowie Citroen Jumper, Peugeot Boxer und Iveco Daily) mit relativ einfacher Technik aus Elektronikshops ein leichtes, die Fahrzeuge in Sekundenschnelle zu öffnen.

Mehr Sicherheit für unser Wohnmobil

Selbst wenn wir eine Einbruchs- oder Aufbruchssituation mit materiellem Schaden und den daraus resultierenden Ärger noch in Kauf nehmen würden, so sind wir seit ca. 1,5 Jahren mit Hund im Wohnmobil unterwegs. Bei einigen Aktivitäten, gerade in der kühleren Jahreszeit, bleibt Gemma für eine Weile allein im Wohnmobil. Immer häufiger kam uns nun der Gedanke, dass im Falle eines Einbruchs oder sogar einer Fahrzeugentwendung nicht nur Wertgegenstände in die Hände der Diebe fallen, sondern auch ein geliebtes Familienmitglied! Der Gedanke, Gemma könnte spurlos verschwinden ist für uns unerträglich. Auch für „Fulltimer“ (dauerhafte Bewohner eines Wohnmobils) ist das Fahrzeug zugleich das einzige Zuhause mit allen persönlichen Dingen an Bord. Da wirkt ein Einbruch nicht nur als materielle Einbuße, sondern auch emotional weitreichend.

Ist das Thema ein Luxusproblem? Tritt es nicht eher in Ländern zutage, die weit unsicherer sind als Deutschland? Es wird sich erst im Laufe der Zeit zeigen, ob Diebesbanden verstärkt diesen Trend aufgreifen. Und die Einhaltung einiger Verhaltensregeln, wie bereits in unserer 4-teiligen Serie „Sicherheit im Wohnmobil“ geschildert, hat auch weiterhin Gültigkeit.
Der Gedanke, dass die Automobilhersteller aus Gewinnoptimierungsgründen (wie so häufig) ein ihnen bekanntes Problem nicht ausmerzen und das der Kunde schmerzlich auszubaden hat, macht schon wütend. Wir haben herausgefunden, dass mit relativ geringem finanziellem Aufwand das Fahrzeug vor unbefugtem Öffnen geschützt werden kann. Daher besuchten wir kürzlich die Firma Thitronik in Kiel. Dort wurde fachmännisch und schnell das WiPro III safe.lock System eingebaut. Nach einer kurzen und verständlichen Einweisung in die Nutzung ist unser Fahrzeug nun durch ein Verschlüsselungssystem, dass über 4 Mrd. Möglichkeiten wechselnder Codes zum Öffnen des Fahrzeugs nutzt, gegen künftige Replay-Attacken geschützt. Das gibt uns ein besseres Gefühl von Sicherheit, wenn Gemma im Fahrzeug zurückbleibt. Selbst wenn das Fahrzeug einmal gewaltsam geöffnet werden sollte, wird nun durch Licht- und Akustikzeichen der integrierten Alarmanlage der Dieb hoffentlich schnell das Weite suchen.


So ist das System von Thitronik modulweise aufgebaut

I. safe.lock Modul

Um eine gesicherte verschlüsselte Funkübertragung zwischen Schlüssel und Fahrzeug zu gewährleisten wird das safe.lock Modul an den CAN-Bus im Fahrzeug angeschlossen. Die Platine im Funkschlüssel wird durch eine neue Platine getauscht. Die, wie wir finden, relativ niedrigen Kosten hierfür liegen bei ca. 140 Euro zzgl. Einbaukosten von 95 €. 

Replay-Attacke safe lock thitronik

Bildquelle: Thitronik GmbH

 

*


Um den Bedienkomfort zu erweitern, kann für diese Lösung auch ein kostengünstiger zweiter Funkhandsender (59,95 €) in das System integriert werden.

Replay-Attacke safe lock thitronik funkfernbedienung

Bildquelle: Thitronik GmbH

Zum Vergleich: Ein zweiter originaler Autoschlüssel vom Hersteller mit (unsicherer) Funkfernbedienung kostet ein Vielfaches dessen und selbst in Shops von Zubehörlieferanten mindestens 150 €.


*


II. Alarmsystem WiPro III mit safe.lock

Wir haben uns für das Alarmsystem WiPro III safe.lock entschieden. Das System ist modular aufgebaut und verfügt über die bereits beschriebenen safe.lock Modul Funktionen. Es werden alle Türen über die Zentralelektronik mit dem Alarmsystem überwacht. Wird eine der Türen bei scharfer Alarmanlage geöffnet, ertönen Hupe, der Warnblinker geht an und ein sehr lauter Piezo-Alarmton. Zu dem Set gehört noch ein Funk-Kontakt, der an einem der Seitenfenster oder Dachfenster angebracht werden kann. Wird ein Fenster mit Funkkontakt bei aktiviertem Alarmsystem geöffnet, wird Alarm ausgelöst. Weitere Funkkontakte können für jedes der Fenster nachgerüstet und in das System integriert werden. Auch verfügt das System über eine Störsendererkennung. Wenn das Funksignal des Schlüssels durch einen Störsender blockiert wird (damit würde der Dieb verhindern wollen, dass man sein Fahrzeug tatsächlich verriegelt), wird ebenfalls Alarm gegeben. Wir testen zunächst den zum Paket gehörenden Funkkontakt an einem der Seitenfenster und entscheiden später, ob wir weitere Funkkontakte an anderen Fenstern nachrüsten werden. Die Kontakte sind störsendergeschützt. Das bedeutet, dass ein Angreifer mit einem baugleichen Magneten den Sender nicht überlisten kann und umgehend Alarm ausgelöst wird.

replay-attacke Alarmsystem WiPro III mit safe.lock thitronik

Bildquelle: Thitronik GmbH

Das Modul wird links vom Lenkrad völlig unsichtbar hinter der Konsolenabdeckung eingebaut.

replay-attacke Alarmsystem WiPro III mit safe.lock thitronik

Die rote LED blinkt rhythmisch, wenn die Anlage scharf geschaltet ist.

replay-attacke Alarmsystem WiPro III mit safe.lock thitronik

Bereits bestehende WiPro III Alarmanlagen ohne safe.lock können ebenfalls ein Upgrade auf WiPro III safe.lock erhalten.

Als weitere Module zur Sicherung des Fahrzeugs können z. B. Gaswarner, Funkkabelschleifen (zur Sicherung von Fahrrädern auf dem Heckträger) oder Fahrzeugortungssysteme integriert/ nachgerüstet werden. Durch den Einbau des Systems wird zum Originalzustand des Fahrzeugs ausschließlich etwas hinzugefügt. Nichts wird entfernt oder dauerhaft verändert. Alles kann leicht zurückgebaut und in den Originalzustand zurückversetzt werden. So kann man das System bei einem Fahrzeugwechsel jederzeit mitnehmen. Einzig die kleine rote LED, bzw. das Loch dafür ist eine dauerhafte Veränderung am Material.


Unsere Erfahrungen und Fazit nach 2 Jahren Nutzung

Fahrzeuge mit einem Funkschlüssel zu öffnen, ist ja schon lange kein Hexenwerk mehr. Es wird erst dann wieder unheimlich, wenn Fremde den Wagen mit der aufgezeichneten Codierung wieder öffnen können. Seitdem wir nun die Wipro III mit dem safe.lock System im Betrieb haben, fühlen wir uns rundum sicher. Replay-Attacken sind für uns seitdem kein Thema mehr. Anfangs war lediglich bei der Bedienung ein wenig zu beachten. So hatte einer von uns ein paar mal morgens schlaftrunken bei gesichertem Fahrzeug die Schiebetür geöffnet, was die Alarmanlage unüberhörbar aktivierte. Auch empfiehlt es sich den separaten Funkschlüssel dabei zu haben, da das Aktivieren oder Deaktivieren einen lauten Quittierungston auslöst, der für die Insassen (z. B. unser Hund) doch recht unangenehm laut ist, denn dieser Ton soll draußen ja noch wahrgenommen werden. Auf dem Funkschlüssel kann man nämlich auch die lautlose Taste bedienen, siehe Foto oben. Auch sollte man alle Türen, besonders die Schiebetür,  immer gut schließen, da sonst beim Aktivierungsversuch die Anlage den Fehler mit hektischen Blinken der Blinker quittiert. 

Vor ein paar Monate wollte dann auch der Hauptschlüssel nicht mehr öffnen oder schließen. Die Knopfzellenbatterie (CR2032) war wohl fast leer. Doch nach dem Wechsel konnte der Wagen immer noch nicht mit diesem Schlüssel geöffnet oder verschlossen werden. Ein kurzer Neustart der Anlage wurde mit dem gut geschriebenen Handbuch durchgeführt und der Schlüssel wieder in das System angemeldet. Ein vorheriger Anruf in der Hotline verriet dann noch, dass es zu unserer nunmehr gut 2 Jahren alten Platine ein Update gibt. Ohne großen Aufwand erhielten wir ein paar Tage später die neue Platine mit einem frankierten Rückumschlag mit dem wir die alte Platine nach erfolgreichen Tausch wieder zurücksandten. Der Umbau wird auch recht einfach mit einem entsprechendem YouTube Video auf der Herstellerseite erklärt.

Unser Fazit ist sehr positiv. Wir können und werden die WiPro safe.lock III weiterhin jedem Ducato Fahrer wärmstens empfehlen. Sie stellt eine ausgereifte und sichere Lösung da, um die Lücke einer Replay-Attacke und einen Einbruch bzw. die Folgen zu verhindern.


Weiterführende Links:

Was ist ein Replay-Angriff? Infos bei Wikipedia

Was ist ein Rolling Code? Infos unter Wikipedia

Publikationen und Pressemittelungen bei Kasper & Oswald GmbH 

Umfangreiche Informationen (Support, Anleitungen, Konfigurator, Videos) auf der Webseite von Thitronik


 Disclaimer

Die gezeigten Produkte haben wir käuflich erworben.

Über Volker

Ich bin Volker vom Reiseblog UMIWO und als Teilzeitreisender seit 2005 mit dem Campingbus in Europa unterwegs. UMIWO versorgt Campingbegeisterte mit Reise- und Testberichten auf unterhaltsame, humorvolle und authentische Weise. Da mich das Reisen sehr inspiriert, möchte ich meine Erlebnisse, Eindrücke und Emotionen in diesem Blog ausdrücken und so den “Spirit” mit anderen teilen. Feedback, Kommentare und Live-Kontakte bereichern darüber hinaus mein Wissen, Entwicklungsmöglichkeiten und setzen Anreize für künftige Ziele. Mit über 550 Artikeln und über 2.500 Followern auf diversen sozialen Plattformen ist UMIWO ein in der deutschsprachigen Blogosphäre bereits seit 2010 geführter Blog.

5 Replies to “Replay-Attacke – Sicherheitslücke Funkfernbedienung – Unsere Erfahrungen und Fazit nach 2 Jahren intensiver Nutzung”

  1. Mario

    Ein sehr interessanter und nützlicher Artikel wo du uns alles im Detail erklärt hast wie genau heute ein Fahrzeughalter öffnet und verschließt ein Fahrzeug. Das, was mich freut ist das einige Hersteller ziemlich ernsthaft diese Sache angenommen haben und Systeme wie safe.lock Modul und Alarmsystem WiPro III safe.lock entwikelt haben die heute in eine Hand überhaupt nicht billig sind und auf die andere Seite schützen ihren Fahrzeug so gut wie möglich, das er am Ende nicht geklaut wird.

  2. Jochen

    Hallo,

    danke für Eure Langzeiterfahrung. werdet Ihr demnach jetzt auch die weiteren (Fenster-)Zugänge wie damals angedacht mit einem Funksender (ich meine ~50 EUR/ Stück) nachrüsten?

    Ich habe es Euch ja nachgemacht und ebenfalls direkt bei Thitronik in Kiel verbauen lassen. Dass ich jetzt allerdings hier durch Euch und nicht durch den Anbieter davon erfahre, dass es eine neue Platine gibt finde ich enttäuschend. Danke auf jeden Fall für den Hinweis.

    Viele Grüße
    Jochen

  3. Ingo Stindt

    Hallo Volker!
    Wie sind Eure Langzeiterfahrungen mit der WiPro III und Save.Lock? Ich denke momentan darüber nach. Mich stört dass es nur „Geschlossen und Geschützt“ gibt. Sitz man vor dem WoMo und hat die Aufbautür geöffnet muss per Funk die Alarmanlage ausgeschaltet sein. Jetzt könnte über die Fahrertür eingestiegen werden. Man muss also zusätzlich Innen verriegeln. Meine Gedanken wurden von einem Fachbetrieb mit folgender Antwort begegnet. „Welcher Dieb ist schon so dreist und klaut aus einem Fahrzeug wenn die Besitzer davor sitzen“.
    Na ja, mich hat das noch nicht überzeugt. Vielleicht schreibst Du nochmal über Eure Erfahrungen. Danke für die vielen tollen Berichte und Infos. Ciao Ingo

    • Volker Autor dieses Beitrags:

      Hi Ingo,
      für uns hatte und hat in erster Linie die safe.lLock Funktion oberste Priorität. Unverschlüsselte Funkübertragung ist die größte Problematik. Man kann ja auch nur die safe.lock Funktion integrieren. Die Alarmanlage ist für uns höchstens bei Abwesenheit interessant. Deine geschilderte Situation können wir auch nachvollziehen und praktizieren sie dann so: Eine Person verriegelt den Ducato von innen mittels der Zentral-Verriegelungsfunktion in der Mittelkonsole (Die Wipro wird dabei nicht scharfgestellt). Dann öffnen wir die Schiebetür von innen. Somit sind alle anderen Türen weiterhin verschlossen. VG Volker

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.