Replay Attacken – Sicherheitslücke Funkfernbedienung

Man liegt schlummernd im Wohnmobil, da klackt plötzlich das vertraute Geräusch der Zentralverriegelung, obwohl niemand der Insassen die Fernbedienung betätigt hat. Plötzlich geht die Fahrertür auf und jemand greift ins Fahrzeug oder steigt ein. Hierbei könnten die Insassen Opfer einer sogenannten Replay Attacke geworden sein. Wir haben dagegen Vorkehrungen getroffen. Wie und warum beschreiben wir in unserem neuesten Artikel aus der Reihe „Sicherheit im Wohnmobil“.


Was ist eine Replay-Attacke?

Der Fahrzeughalter öffnet und verschließt sein Fahrzeug mit der Funkfernbedienung. Dabei werden Funksignale mit verschlüsselten Codes vom Funkschlüssel an den Empfänger (das Fahrzeug) übermittelt. Stimmt der Verschlüsselungscode überein, gibt das Fahrzeugsystem die Zentralverriegelung frei. Die Funkübertragung kann in einem Umkreis bis mindestens 50 Meter von speziellen Empfangsgeräten aufgezeichent werden. Wird das Öffnungssignal mit diesem Empfangsgerät aufgefangen und gespeichert, kann es später abgespielt werden. Dadurch kann das Fahrzeug mit entsprechender Ausrüstung ohne jedwede Gewalteinwirkung in Sekundenschnelle geöffnet und nach dem Einbruch wieder verschlossen werden. Eine Katastrophe für den Besitzer und ein Alptraum wegen der Meldung des Schadensfalles an die Versicherung.

Wie kann eine Replay Attacke ablaufen?

  • Man liegt schlummernd im Wohnmobil, da klackt plötzlich das vertraute Geräusch der Zentralverriegelung, obwohl niemand der Insassen die Fernbedienung betätigt hat. Plötzlich geht die Fahrertür auf und jemand greift ins Fahrzeug oder steigt ein.
  • Man bricht vom Stellplatz zu einem Spaziergang auf und verriegelt das Wohnmobil mit der zentralen Funkfernbedienung. Bei der Rückkehr öffnet man auf dem gleichen Weg das Fahrzeug und wundert sich über den durchwühlten Innenraum. Nichts deutet auf ein gewaltsames Eindringen hin und dennoch sind Wertgegenstände verschwunden.

Nicht nur Mitglieder verschiedener Camping-Facebookgruppen schilderten erst kürzlich Vorfälle, die sich so oder so ähnlich zugetragen haben. Auch ohne übermäßig ängstlich zu sein, sind das Szenarien, die kein Wohnmobilfahrer gern erleben möchte.

Was sagen die Hersteller?

Zu einer offiziellen schriftlichen Anfrage über die Fiat Professional Webseite gab es bisher keine Antwort. Auch konnte unserer langjähriger Fiat Professional Händler keinerlei Angaben über Änderungen in den Verschlüsselungssytemen machen. Uns wurde versprochen, dass wir umgehend Nachricht erhalten und werden dann in unserem Blog darüber berichten.


Demonstration einer Replay-Attacke*




Erste Hilfe zur Verhinderung einer Replay-Attacke:

Fahrzeug mit dem Schlüssel ausschließlich manuell ver- und entriegeln (gegebenenfalls Batterie aus dem Funkschlüssel entnehmen).

Wir sind auf dem Caravan Salon 2017 auf dieses heikle Thema aufmerksam geworden. Wie es scheint, bieten viele Fahrzeughersteller nicht genügend Schutz in der Funkübertragung, um die Zentralverriegelung dauerhaft sicher zu öffnen und zu schließen. Das Thema wurde bereits im August 2016 intensiv in den Medien behandelt, da zu diesem Zeitpunkt mehrere Mitarbeiter der Universität Birmingham und die deutsche Kasper & Oswald GmbH eine umfangreiche Veröffentlichung auf der amerikanischen Betriebssystem-Entwickler-Konferenz USENIX vorstellten und hierbei die Sicherheitslücken aufdeckten. Dabei wurden unter anderem auch die Basisfahrzeughersteller aus dem PSA-Konzern genannt. Konnten viele Fahrzeuge anderer Hersteller nur mit hohem Aufwand, tiefgründigem technischem Know-how und speziellem Equipment geöffnet werden, war es beim Kastenwagen Fiat Ducato ab Baujahr 2006 (sowie Citroen Jumper, Peugeot Boxer und Iveco Daily) mit relativ einfacher Technik aus Elektronikshops ein leichtes, die Fahrzeuge in Sekundenschnelle zu öffnen.

Mehr Sicherheit für unser Wohnmobil

Selbst wenn wir eine Einbruchs- oder Aufbruchssituation mit materiellem Schaden und den daraus resultierenden Ärger noch in Kauf nehmen würden, so sind wir seit ca. 1,5 Jahren mit Hund im Wohnmobil unterwegs. Bei einigen Aktivitäten, gerade in der kühleren Jahreszeit, bleibt Gemma für eine Weile allein im Wohnmobil. Immer häufiger kam uns nun der Gedanke, dass im Falle eines Einbruchs oder sogar einer Fahrzeugentwendung nicht nur Wertgegenstände in die Hände der Diebe fallen, sondern auch ein geliebtes Familienmitglied! Der Gedanke, Gemma könnte spurlos verschwinden ist für uns unerträglich. Auch für „Fulltimer“ (dauerhafte Bewohner eines Wohnmobils) ist das Fahrzeug zugleich das einzige Zuhause mit allen persönlichen Dingen an Bord. Da wirkt ein Einbruch nicht nur als materielle Einbuße, sondern auch emotional weitreichend.

Ist das Thema ein Luxusproblem? Tritt es nicht eher in Ländern zutage, die weit unsicherer sind als Deutschland? Es wird sich erst im Laufe der Zeit zeigen, ob Diebesbanden verstärkt diesen Trend aufgreifen. Und die Einhaltung einiger Verhaltensregeln, wie bereits in unserer 4-teiligen Serie „Sicherheit im Wohnmobil“ geschildert, hat auch weiterhin Gültigkeit.
Der Gedanke, dass die Automobilhersteller aus Gewinnoptimierungsgründen (wie so häufig) ein ihnen bekanntes Problem nicht ausmerzen und das der Kunde schmerzlich auszubaden hat, macht schon wütend. Wir haben herausgefunden, dass mit relativ geringem finanziellem Aufwand das Fahrzeug vor unbefugtem Öffnen geschützt werden kann. Daher besuchten wir kürzlich die Firma Thitronik in Kiel. Dort wurde fachmännisch und schnell das WiPro III safe.lock System eingebaut. Nach einer kurzen und verständlichen Einweisung in die Nutzung ist unser Fahrzeug nun durch ein Verschlüsselungssystem, dass über 4 Mrd. Möglichkeiten wechselnder Codes zum Öffnen des Fahrzeugs nutzt, gegen künftige Replay-Attacken geschützt. Das gibt uns ein besseres Gefühl von Sicherheit, wenn Gemma im Fahrzeug zurückbleibt. Selbst wenn das Fahrzeug einmal gewaltsam geöffnet werden sollte, wird nun durch Licht- und Akustikzeichen der integrierten Alarmanlage der Dieb hoffentlich schnell das Weite suchen.

So ist das System von Thitronik modulweise aufgebaut

I. safe.lock Modul

Um eine gesicherte verschlüsselte Funkübertragung zwischen Schlüssel und Fahrzeug zu gewährleisten wird das safe.lock Modul an den CAN-Bus im Fahrzeug angeschlossen. Die Platine im Funkschlüssel wird durch eine neue Platine getauscht. Die, wie wir finden, relativ niedrigen Kosten hierfür liegen bei ca. 140 Euro zzgl. Einbaukosten von 95 €. 

Bildquelle: Thitronik GmbH

Um den Bedienkomfort zu erweitern, kann für diese Lösung auch ein kostengünstiger zweiter Funkhandsender (59,95 €) in das System integriert werden.

Bildquelle: Thitronik GmbH

Zum Vergleich: Ein zweiter originaler Autoschlüssel vom Hersteller mit (unsicherer) Funkfernbedienung kostet ein Vielfaches dessen und selbst in Shops von Zubehörlieferanten mindestens 150 €.

II. Alarmsystem WiPro III mit safe.lock

Wir haben uns für das Alarmsystem WiPro III safe.lock entschieden. Das System ist modular aufgebaut und verfügt über die bereits beschriebenen safe.lock Modul Funktionen. Es werden alle Türen über die Zentralelektronik mit dem Alarmsystem überwacht. Wird eine der Türen bei scharfer Alarmanlage geöffnet, ertönen Hupe, der Warnblinker geht an und ein sehr lauter Piezo-Alarmton. Zu dem Set gehört noch ein Funk-Kontakt, der an einem der Seitenfenster oder Dachfenster angebracht werden kann. Wird ein Fenster mit Funkkontakt bei aktiviertem Alarmsystem geöffnet, wird Alarm ausgelöst. Weitere Funkkontakte können für jedes der Fenster nachgerüstet und in das System integriert werden. Auch verfügt das System über eine Störsendererkennung. Wenn das Funksignal des Schlüssels durch einen Störsender blockiert wird (damit würde der Dieb verhindern wollen, dass man sein Fahrzeug tatsächlich verriegelt), wird ebenfalls Alarm gegeben. Wir testen zunächst den zum Paket gehörenden Funkkontakt an einem der Seitenfenster und entscheiden später, ob wir weitere Funkkontakte an anderen Fenstern nachrüsten werden. Die Kontakte sind störsendergeschützt. Das bedeutet, dass ein Angreifer mit einem baugleichen Magneten den Sender nicht überlisten kann und umgehend Alarm ausgelöst wird.

Bildquelle: Thitronik GmbH

Das Modul wird links vom Lenkrad völlig unsichtbar hinter der Konsolenabdeckung eingebaut.

Die rote LED blinkt rhythmisch, wenn die Anlage scharf geschaltet ist.

Bereits bestehende WiPro III Alarmanlagen ohne safe.lock können ebenfalls ein Upgrade auf WiPro III safe.lock erhalten.

Als weitere Module zur Sicherung des Fahrzeugs können z. B. Gaswarner, Funkkabelschleifen (zur Sicherung von Fahrrädern auf dem Heckträger) oder Fahrzeugortungssysteme integriert/ nachgerüstet werden. Durch den Einbau des Systems wird zum Originalzustand des Fahrzeugs ausschließlich etwas hinzugefügt. Nichts wird entfernt oder dauerhaft verändert. Alles kann leicht zurückgebaut und in den Originalzustand zurückversetzt werden. So kann man das System bei einem Fahrzeugwechsel jederzeit mitnehmen. Einzig die kleine rote LED, bzw. das Loch dafür ist eine dauerhafte Veränderung am Material.


Weiterführende Links:

Was ist ein Replay-Angriff? Infos bei Wikipedia

Was ist ein Rolling Code? Infos unter Wikipedia

Publikationen und Pressemittelungen bei Kasper & Oswald GmbH 

Umfangreiche Informationen (Support, Anleitungen, Konfigurator, Videos) auf der Webseite von Thitronik


 Disclaimer

Die gezeigten Produkte haben wir käuflich erworben.

Über Volker

Hi, ich bin Volker vom Reiseblog UMIWO.Ich bin als Teilzeitreisender seit 2005 mit dem Wohnmobil in Europa unterwegs. UMIWO versorgt Campingbegeisterte mit Reise- und Testberichten auf unterhaltsame, humorvolle und authentische Weise. Ich verbinde meine Internetaffinität mit meiner Leidenschaft, zusammen mit meiner Ehefrau mit dem Wohnmobil in Europa zu reisen. Da uns diese Reisen sehr inspirieren, möchte ich die Erlebnisse, Eindrücke und Emotionen in diesem Blog ausdrücken und so den “Spirit” mit anderen teilen. Feedback, Kommentare und Live-Kontakte bereichern darüber hinaus mein Wissen, Entwicklungsmöglichkeiten und setzen Anreize für künftige Ziele.Mit über 500 Artikeln und über 2.000 Followern auf diversen sozialen Plattformen ist UMIWO ein in der deutschsprachigen Blogosphäre bereits seit 2010 geführter Blog.

Schreib uns Deine Meinung, wir freuen uns über jeden Kommentar! :)