Replay-Attacke – Sicherheitslücke Funkfernbedienung – Unsere Erfahrungen und Fazit nach 2 Jahren intensiver Nutzung

Man liegt schlummernd im Wohnmobil, da klackt plötzlich das vertraute Geräusch der Zentralverriegelung, obwohl niemand der Insassen die Fernbedienung betätigt hat. Plötzlich geht die Fahrertür auf und jemand greift ins Fahrzeug oder steigt ein. Hierbei könnten die Insassen Opfer einer sogenannten Replay-Attacke geworden sein. Wir haben dagegen Vorkehrungen getroffen. Wie und warum beschreiben wir in unserem neuesten Artikel aus der Reihe „Sicherheit im Wohnmobil“. Wir schildern am Ende des Artikels unsere Erfahrungen und ein Fazit nach 2 Jahren intensiver Nutzung der „WiPro III safe.lock“ von Thitronik.


Was ist eine Replay-Attacke?

Der Fahrzeughalter öffnet und verschließt sein Fahrzeug mit der Funkfernbedienung. Dabei werden Funksignale mit verschlüsselten Codes vom Funkschlüssel an den Empfänger (das Fahrzeug) übermittelt. Stimmt der Verschlüsselungscode überein, gibt das Fahrzeugsystem die Zentralverriegelung frei. Die Funkübertragung kann in einem Umkreis bis mindestens 50 Meter von speziellen Empfangsgeräten aufgezeichnet werden. Wird das Öffnungssignal mit diesem Empfangsgerät aufgefangen und gespeichert, kann es später abgespielt werden („replay“). Dadurch kann das Fahrzeug mit entsprechender Ausrüstung ohne jedwede Gewalteinwirkung in Sekundenschnelle geöffnet und nach dem Einbruch wieder verschlossen werden. Eine Katastrophe für den Besitzer und ein Alptraum wegen der Meldung des Schadensfalles an die Versicherung.

Wie kann eine Replay-Attacke ablaufen?

  • Man liegt schlummernd im Wohnmobil, da klackt plötzlich das vertraute Geräusch der Zentralverriegelung, obwohl niemand der Insassen die Fernbedienung betätigt hat. Plötzlich geht die Fahrertür auf und jemand greift ins Fahrzeug oder steigt ein.
  • Man bricht vom Stellplatz zu einem Spaziergang auf und verriegelt das Wohnmobil mit der zentralen Funkfernbedienung. Bei der Rückkehr öffnet man auf dem gleichen Weg das Fahrzeug und wundert sich über den durchwühlten Innenraum. Nichts deutet auf ein gewaltsames Eindringen hin und dennoch sind Wertgegenstände verschwunden.

Nicht nur Mitglieder verschiedener Camping-Facebook-Gruppen schilderten erst kürzlich Vorfälle, die sich wie eine Replay-Attacke oder so ähnlich zugetragen haben. Auch ohne übermäßig ängstlich zu sein, sind das Szenarien, die kein Wohnmobilfahrer gern erleben möchte.

Was sagen die Hersteller?

Zu einer offiziellen schriftlichen Anfrage zu einer Replay-Attacke über die Fiat Professional Webseite gab es bisher keine Antwort. Auch konnte unserer langjähriger Fiat Professional Händler keinerlei Angaben über Änderungen in den Verschlüsselungssystemen machen. Uns wurde versprochen, dass wir umgehend Nachricht erhalten und werden dann in unserem Blog darüber berichten.


Demonstration einer Replay-Attacke*

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden


YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden


YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden


Erste Hilfe zur Verhinderung einer Replay-Attacke

Fahrzeug mit dem Schlüssel ausschließlich manuell ver- und entriegeln (gegebenenfalls Batterie aus dem Funkschlüssel entnehmen).

Wir sind auf dem Caravan Salon 2017 auf dieses heikle Thema aufmerksam geworden. Wie es scheint, bieten viele Fahrzeughersteller nicht genügend Schutz in der Funkübertragung, um die Zentralverriegelung dauerhaft sicher zu öffnen und zu schließen. Das Thema wurde bereits im August 2016 intensiv in den Medien behandelt, da zu diesem Zeitpunkt mehrere Mitarbeiter der Universität Birmingham und die deutsche Kasper & Oswald GmbH eine umfangreiche Veröffentlichung auf der amerikanischen Betriebssystem-Entwickler-Konferenz USENIX vorstellten und hierbei die Sicherheitslücken aufdeckten. Dabei wurden unter anderem auch die Basisfahrzeughersteller aus dem PSA-Konzern genannt. Konnten viele Fahrzeuge anderer Hersteller nur mit hohem Aufwand, tiefgründigem technischem Know-how und speziellem Equipment geöffnet werden, war es beim Kastenwagen Fiat Ducato ab Baujahr 2006 (sowie Citroen Jumper, Peugeot Boxer und Iveco Daily) mit relativ einfacher Technik aus Elektronikshops ein leichtes, die Fahrzeuge in Sekundenschnelle zu öffnen.

Mehr Sicherheit für unser Wohnmobil

Selbst wenn wir eine Einbruchs- oder Aufbruchssituation mit materiellem Schaden und den daraus resultierenden Ärger noch in Kauf nehmen würden, so sind wir seit ca. 1,5 Jahren mit Hund im Wohnmobil unterwegs. Bei einigen Aktivitäten, gerade in der kühleren Jahreszeit, bleibt Gemma für eine Weile allein im Wohnmobil. Immer häufiger kam uns nun der Gedanke, dass im Falle eines Einbruchs oder sogar einer Fahrzeugentwendung nicht nur Wertgegenstände in die Hände der Diebe fallen, sondern auch ein geliebtes Familienmitglied! Der Gedanke, Gemma könnte spurlos verschwinden ist für uns unerträglich. Auch für „Fulltimer“ (dauerhafte Bewohner eines Wohnmobils) ist das Fahrzeug zugleich das einzige Zuhause mit allen persönlichen Dingen an Bord. Da wirkt ein Einbruch nicht nur als materielle Einbuße, sondern auch emotional weitreichend.

Ist das Thema ein Luxusproblem? Tritt es nicht eher in Ländern zutage, die weit unsicherer sind als Deutschland? Es wird sich erst im Laufe der Zeit zeigen, ob Diebesbanden verstärkt diesen Trend aufgreifen. Und die Einhaltung einiger Verhaltensregeln, wie bereits in unserer 4-teiligen Serie „Sicherheit im Wohnmobil“ geschildert, hat auch weiterhin Gültigkeit.
Der Gedanke, dass die Automobilhersteller aus Gewinnoptimierungsgründen (wie so häufig) ein ihnen bekanntes Problem nicht ausmerzen und das der Kunde schmerzlich auszubaden hat, macht schon wütend. Wir haben herausgefunden, dass mit relativ geringem finanziellem Aufwand das Fahrzeug vor unbefugtem Öffnen geschützt werden kann. Daher besuchten wir kürzlich die Firma Thitronik in Kiel. Dort wurde fachmännisch und schnell das WiPro III safe.lock System eingebaut. Nach einer kurzen und verständlichen Einweisung in die Nutzung ist unser Fahrzeug nun durch ein Verschlüsselungssystem, dass über 4 Mrd. Möglichkeiten wechselnder Codes zum Öffnen des Fahrzeugs nutzt, gegen künftige Replay-Attacken geschützt. Das gibt uns ein besseres Gefühl von Sicherheit, wenn Gemma im Fahrzeug zurückbleibt. Selbst wenn das Fahrzeug einmal gewaltsam geöffnet werden sollte, wird nun durch Licht- und Akustikzeichen der integrierten Alarmanlage der Dieb hoffentlich schnell das Weite suchen.


So ist das System von Thitronik modulweise aufgebaut

I. safe.lock Modul

Um eine gesicherte verschlüsselte Funkübertragung zwischen Schlüssel und Fahrzeug zu gewährleisten wird das safe.lock Modul an den CAN-Bus im Fahrzeug angeschlossen. Die Platine im Funkschlüssel wird durch eine neue Platine getauscht. Die, wie wir finden, relativ niedrigen Kosten hierfür liegen bei ca. 140 Euro zzgl. Einbaukosten von 95 €. 

Replay-Attacke safe lock thitronik

Bildquelle: Thitronik GmbH

 

Klicken Sie auf den unteren Button, um den Inhalt von ws-eu.amazon-adsystem.com zu laden.

Inhalt laden

*


Um den Bedienkomfort zu erweitern, kann für diese Lösung auch ein kostengünstiger zweiter Funkhandsender (59,95 €) in das System integriert werden.

Replay-Attacke safe lock thitronik funkfernbedienung

Bildquelle: Thitronik GmbH

Zum Vergleich: Ein zweiter originaler Autoschlüssel vom Hersteller mit (unsicherer) Funkfernbedienung kostet ein Vielfaches dessen und selbst in Shops von Zubehörlieferanten mindestens 150 €.


Klicken Sie auf den unteren Button, um den Inhalt von ws-eu.amazon-adsystem.com zu laden.

Inhalt laden

*


II. Alarmsystem WiPro III mit safe.lock

Wir haben uns für das Alarmsystem WiPro III safe.lock entschieden. Das System ist modular aufgebaut und verfügt über die bereits beschriebenen safe.lock Modul Funktionen. Es werden alle Türen über die Zentralelektronik mit dem Alarmsystem überwacht. Wird eine der Türen bei scharfer Alarmanlage geöffnet, ertönen Hupe, der Warnblinker geht an und ein sehr lauter Piezo-Alarmton. Zu dem Set gehört noch ein Funk-Kontakt, der an einem der Seitenfenster oder Dachfenster angebracht werden kann. Wird ein Fenster mit Funkkontakt bei aktiviertem Alarmsystem geöffnet, wird Alarm ausgelöst. Weitere Funkkontakte können für jedes der Fenster nachgerüstet und in das System integriert werden. Auch verfügt das System über eine Störsendererkennung. Wenn das Funksignal des Schlüssels durch einen Störsender blockiert wird (damit würde der Dieb verhindern wollen, dass man sein Fahrzeug tatsächlich verriegelt), wird ebenfalls Alarm gegeben. Wir testen zunächst den zum Paket gehörenden Funkkontakt an einem der Seitenfenster und entscheiden später, ob wir weitere Funkkontakte an anderen Fenstern nachrüsten werden. Die Kontakte sind störsendergeschützt. Das bedeutet, dass ein Angreifer mit einem baugleichen Magneten den Sender nicht überlisten kann und umgehend Alarm ausgelöst wird.

replay-attacke Alarmsystem WiPro III mit safe.lock thitronik

Bildquelle: Thitronik GmbH

Das Modul wird links vom Lenkrad völlig unsichtbar hinter der Konsolenabdeckung eingebaut.

replay-attacke Alarmsystem WiPro III mit safe.lock thitronik

Die rote LED blinkt rhythmisch, wenn die Anlage scharf geschaltet ist.

replay-attacke Alarmsystem WiPro III mit safe.lock thitronik

Bereits bestehende WiPro III Alarmanlagen ohne safe.lock können ebenfalls ein Upgrade auf WiPro III safe.lock erhalten.

Als weitere Module zur Sicherung des Fahrzeugs können z. B. Gaswarner, Funkkabelschleifen (zur Sicherung von Fahrrädern auf dem Heckträger) oder Fahrzeugortungssysteme integriert/ nachgerüstet werden. Durch den Einbau des Systems wird zum Originalzustand des Fahrzeugs ausschließlich etwas hinzugefügt. Nichts wird entfernt oder dauerhaft verändert. Alles kann leicht zurückgebaut und in den Originalzustand zurückversetzt werden. So kann man das System bei einem Fahrzeugwechsel jederzeit mitnehmen. Einzig die kleine rote LED, bzw. das Loch dafür ist eine dauerhafte Veränderung am Material.

Klicken Sie auf den unteren Button, um den Inhalt von ws-eu.amazon-adsystem.com zu laden.

Inhalt laden


Unsere Erfahrungen und Fazit nach 2 Jahren Nutzung

Fahrzeuge mit einem Funkschlüssel zu öffnen, ist ja schon lange kein Hexenwerk mehr. Es wird erst dann wieder unheimlich, wenn Fremde den Wagen mit der aufgezeichneten Codierung wieder öffnen können. Seitdem wir nun die Wipro III mit dem safe.lock System im Betrieb haben, fühlen wir uns rundum sicher. Replay-Attacken sind für uns seitdem kein Thema mehr. Anfangs war lediglich bei der Bedienung ein wenig zu beachten. So hatte einer von uns ein paar mal morgens schlaftrunken bei gesichertem Fahrzeug die Schiebetür geöffnet, was die Alarmanlage unüberhörbar aktivierte. Auch empfiehlt es sich den separaten Funkschlüssel dabei zu haben, da das Aktivieren oder Deaktivieren einen lauten Quittierungston auslöst, der für die Insassen (z. B. unser Hund) doch recht unangenehm laut ist, denn dieser Ton soll draußen ja noch wahrgenommen werden. Auf dem Funkschlüssel kann man nämlich auch die lautlose Taste bedienen, siehe Foto oben. Auch sollte man alle Türen, besonders die Schiebetür,  immer gut schließen, da sonst beim Aktivierungsversuch die Anlage den Fehler mit hektischen Blinken der Blinker quittiert. 

Vor ein paar Monate wollte dann auch der Hauptschlüssel nicht mehr öffnen oder schließen. Die Knopfzellenbatterie (CR2032) war wohl fast leer. Doch nach dem Wechsel konnte der Wagen immer noch nicht mit diesem Schlüssel geöffnet oder verschlossen werden. Ein kurzer Neustart der Anlage wurde mit dem gut geschriebenen Handbuch durchgeführt und der Schlüssel wieder in das System angemeldet. Ein vorheriger Anruf in der Hotline verriet dann noch, dass es zu unserer nunmehr gut 2 Jahren alten Platine ein Update gibt. Ohne großen Aufwand erhielten wir ein paar Tage später die neue Platine mit einem frankierten Rückumschlag mit dem wir die alte Platine nach erfolgreichen Tausch wieder zurücksandten. Der Umbau wird auch recht einfach mit einem entsprechendem YouTube Video auf der Herstellerseite erklärt.

Unser Fazit ist sehr positiv. Wir können und werden die WiPro safe.lock III weiterhin jedem Ducato Fahrer wärmstens empfehlen. Sie stellt eine ausgereifte und sichere Lösung da, um die Lücke einer Replay-Attacke und einen Einbruch bzw. die Folgen zu verhindern.


Weiterführende Links:

Was ist ein Replay-Angriff? Infos bei Wikipedia

Was ist ein Rolling Code? Infos unter Wikipedia

Publikationen und Pressemittelungen bei Kasper & Oswald GmbH 

Umfangreiche Informationen (Support, Anleitungen, Konfigurator, Videos) auf der Webseite von Thitronik


 Disclaimer

Die gezeigten Produkte haben wir käuflich erworben.

Über Volker

Ich bin Volker vom Reiseblog UMIWO und als Teilzeitreisender seit 2005 mit dem Campingbus in Europa unterwegs. UMIWO versorgt Campingbegeisterte mit Reise- und Testberichten auf unterhaltsame, humorvolle und authentische Weise. Da mich das Reisen sehr inspiriert, möchte ich meine Erlebnisse, Eindrücke und Emotionen in diesem Blog ausdrücken und so den “Spirit” mit anderen teilen. Feedback, Kommentare und Live-Kontakte bereichern darüber hinaus mein Wissen, Entwicklungsmöglichkeiten und setzen Anreize für künftige Ziele. Mit mehr als 600 Blogbeiträgen und über 3.000 Followern auf diversen sozialen Plattformen ist UMIWO ein in der deutschsprachigen Blogosphäre bereits seit 2010 geführter Blog.

13 Replies to “Replay-Attacke – Sicherheitslücke Funkfernbedienung – Unsere Erfahrungen und Fazit nach 2 Jahren intensiver Nutzung”

  1. Joachim Schäfer

    Hallo, ein interessanter Artikel. Habe selbst die WiproIII mit Funksender. Den Schlüssel habe ich nicht umgebaut. Nutze aber über das Bluetooth Modul die Öffnungs/Schließ/Alarm Funktion. Jetzt ist mir nicht ganz klar ob ich mit dieser Vorgehensweise die Sichere Anlage wieder gegen Angriffe öffne – über die Bluetooth Verbindung? Oder werden hier auch die gleichen Wechselcodes angewendet ? Dann aber unklar wie diese ausgetauscht werden. Gibt es hier Erfahrung?

    Antworten
    • Volker Autor dieses Beitrags:

      Hallo Joachim, das Bluetooth Modul gab es zum damaligen Zeitpunkt der Installation unserer Wipro III noch nicht und wir haben es auch nicht nachrüsten lassen. Wir nutzen 2 zusätzliche Fernbedienungen, damit immer jeder das Fahrzeug bequem öffnen und schließen kann, da die Batterie im nachgerüsteten Schlüssel ständig leer läuft. Ich kann mir aber nicht vorstellen, dass die Bluetooth Signale nicht rollierend verschlüsselt werden. Evtl. schreibst Du dazu mal an den Support von Thitronik. VG Volker von UMIWO

      Antworten
  2. Bodo Schulz

    Hallo Volker,
    mir wurde im Mai 2019 unser 11 Monate alter Eura Mobil 650 VB in Berlin gegenüber einer Tankstelle geklaut. Er war nur mit Heo Schlösser gesichert. Polizei hat nichts weiter unternommen, weil das Fahrzeug keine Ortung hatte.

    Nun werden wir im März unseren Knaus Teilintegrierten bekommen. Ich will diesen mit der Wipro III und safe.lock ausrüsten. Dazu auch die Fernalarmierung und Ortung mit Pro-finder. Die Laute Alarm-Hupe werde ich nicht nutzen. Nur den Blinker. ABER für mich wichtig: ich will bei einem Einbruch vom System eine Info bekommen.

    Meine Frage: wenn ein Einbruch stattfindet, wie werde ich vom System informiert? sms an mich von der Wipro?
    Ich werde informiert über den Einbruch, auch wenn das Fahrzeug nicht bewegt wird?

    Antworten
    • Volker Autor dieses Beitrags:

      Hallo Bodo,
      tut uns echt leid mit dem Diebstahls eures Womos. Auch für uns ist das eine echte Horrorvorstellung. Wir sichern übrigens unseren Wagen mechanisch mit einer Lenkradkralle, die wir IMMER bei Verlassen des Wagens anlegen. Ist in 30 Sekunden angelegt und beschert dem Dieb erst einmal eine größere Hürde.

      Ja, der Pro-Finder sendet entsprechend bei Öffnung der entsprechenden Tür- und Fensterkontakte eine SMS auf bis zu 10 Telefone. Du kannst auch jederzeit aktiv einen Status über das Fahrzeug als SMS Meldung anfordern. Also auch wo sich das Fahrzeug aktuell aufhält.
      Mehr dazu hier: https://www.thitronik-automotive.de/fahrzeugortung/produkt/pro-finder.html

      VG
      Volker

      Antworten
  3. Mario

    Ein sehr interessanter und nützlicher Artikel wo du uns alles im Detail erklärt hast wie genau heute ein Fahrzeughalter öffnet und verschließt ein Fahrzeug. Das, was mich freut ist das einige Hersteller ziemlich ernsthaft diese Sache angenommen haben und Systeme wie safe.lock Modul und Alarmsystem WiPro III safe.lock entwikelt haben die heute in eine Hand überhaupt nicht billig sind und auf die andere Seite schützen ihren Fahrzeug so gut wie möglich, das er am Ende nicht geklaut wird.

    Antworten
  4. Jochen

    Hallo,

    danke für Eure Langzeiterfahrung. werdet Ihr demnach jetzt auch die weiteren (Fenster-)Zugänge wie damals angedacht mit einem Funksender (ich meine ~50 EUR/ Stück) nachrüsten?

    Ich habe es Euch ja nachgemacht und ebenfalls direkt bei Thitronik in Kiel verbauen lassen. Dass ich jetzt allerdings hier durch Euch und nicht durch den Anbieter davon erfahre, dass es eine neue Platine gibt finde ich enttäuschend. Danke auf jeden Fall für den Hinweis.

    Viele Grüße
    Jochen

    Antworten
  5. Ingo Stindt

    Hallo Volker!
    Wie sind Eure Langzeiterfahrungen mit der WiPro III und Save.Lock? Ich denke momentan darüber nach. Mich stört dass es nur „Geschlossen und Geschützt“ gibt. Sitz man vor dem WoMo und hat die Aufbautür geöffnet muss per Funk die Alarmanlage ausgeschaltet sein. Jetzt könnte über die Fahrertür eingestiegen werden. Man muss also zusätzlich Innen verriegeln. Meine Gedanken wurden von einem Fachbetrieb mit folgender Antwort begegnet. „Welcher Dieb ist schon so dreist und klaut aus einem Fahrzeug wenn die Besitzer davor sitzen“.
    Na ja, mich hat das noch nicht überzeugt. Vielleicht schreibst Du nochmal über Eure Erfahrungen. Danke für die vielen tollen Berichte und Infos. Ciao Ingo

    Antworten
    • Volker Autor dieses Beitrags:

      Hi Ingo,
      für uns hatte und hat in erster Linie die safe.lLock Funktion oberste Priorität. Unverschlüsselte Funkübertragung ist die größte Problematik. Man kann ja auch nur die safe.lock Funktion integrieren. Die Alarmanlage ist für uns höchstens bei Abwesenheit interessant. Deine geschilderte Situation können wir auch nachvollziehen und praktizieren sie dann so: Eine Person verriegelt den Ducato von innen mittels der Zentral-Verriegelungsfunktion in der Mittelkonsole (Die Wipro wird dabei nicht scharfgestellt). Dann öffnen wir die Schiebetür von innen. Somit sind alle anderen Türen weiterhin verschlossen. VG Volker

      Antworten
    • Bodo Schulz

      Wir haben in den Fahrerhaustüren immer (in jeden Wohnmobil, was wir in den letzten 20 Jahren hatten) die HEO Schlösser eingebaut. Das hat beim Transit (Big Nugget) und allen Fiat Ducato immer sehr geholfen. Auf dem Campingplatz habe ich immer die Türen vorne verschlossen.

      Antworten
      • Volker Autor dieses Beitrags:

        Die HEO Safe Schlösser verwenden wir zusätzlich. Aber man gelangt ja auch auf anderen Wegen in den Wagen. Für uns hat es oberste Priorität, dass das Fahrzeug nicht entwendet wird. Daher die Maßnahme mit der Lenkradkralle. Darüber hinaus ist sie gut sichtbar und zeigt dem Einbrecher, dass er hier deutlich mehr Aufwand mit dem Knacken hat.

        Antworten
        • Bodo Schulz

          Hallo Volker,
          wenn Du eine Lenkradkralle verwendest, so wird diese auch nur wenig Schutz bieten. Profis entsorgen diese in weniger als einer Minute. Wir sind seit mehr als 20 Jahren mit verschiedenen Wohnmobilen unterwegs. Nun ist uns das erste Womo geklaut worden. Ein zweites Mal sollte es möglichst nicht geben. Denn danach wird es wohl schwer eine neue Versicherung zu finden. Wir werden diesmal Heo-Schlösser einbauen, Wipro III, Pro Finder und zusätzlich wohl den Sleeper von Vodafone. Bei Diebstahl hat Vodafone in 44 Ländern Verträge mit der Polizei. Und mechanisch soll dann noch bear lock verbaut werden. Zusammen rund 2500 Euro bei einem 70.000 Euro Wohnmobil. Dafür habe ich keine Sat-Anlage und keine Markise (beide Sachen aber auch wegen Einhaltung der 3500 kg). Ob bei der Wipro III noch safe.lock erforderlich ist, muss ich klären. Alle Ducato Baujahr 2019/2020 haben nun erstmals auch eine Codierung der Funksignale von FIAT bekommen. Ob diese ausreichend ist, werde ich mit dem Hersteller der Wipro III noch abklären.

          Antworten
          • Friedrich Ostertag

            Hallo Bodo,

            danke für deinen Bericht und deine Einschätzung. Hast du denn von Thitronik eine Antwort bzg. der Sicherheit des Fiat Rollcodes ab MJ1019 bekommen? Danke!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.