Sicherheitsforscher der NCC Group haben einen Bluetooth-Relay-Angriff demonstriert. Tesla-Autos können so aus der Ferne entsperrt werden.
Sicherheitsforscher bei der in Manchester, Großbritannien, ansässigen Sicherheitsfirma NCC Group, haben einen neuen Bluetooth-Relay-Angriff demonstriert. Der Hack, der bei den Tesla-Modellen 3 und Y funktioniert, würde es einem Dieb ermöglichen, das Fahrzeug zu entriegeln, es zu starten und davonzufahren. Darüber berichtete Bloomberg.
Die Schwachstelle liegt in Bluetooth Low Energy (BLE), der von Teslas Zugangssystem verwendeten Technologie. Diese ermöglicht es Fahrern mit der App oder dem Schlüsselanhänger, den Tesla aus der Nähe zu entriegeln und zu starten. Die meisten Geräte und Fahrzeuge, die sich auf diese Art der Authentifizierung in der Nähe verlassen, sind so konzipiert, dass sie gegen eine Reihe von Relay-Angriffen geschützt sind.
BLE-Proximity-Authentifizierungssysteme messen normalerweise die Entfernung eines Geräts anhand der Reaktionszeit. Wenn das Gerät also zu weit von dem zu entsperrenden Gerät entfernt ist, ist die Reaktionszeit zu lang und die Authentifizierung schlägt fehl. Relay-Angriffe umgehen dies, indem sie das Signal vom Remote-Gerät an das Zielgerät weiterleiten.
Die Tesla-Hack-Ergebnisse der NCC Group
„Durch die Weiterleitung von Daten aus dem Basisband auf der Verbindungsschicht überwindet der Hack den bekannten Schutz vor Relay-Angriffen, einschließlich verschlüsselter BLE-Kommunikation, da er die oberen Schichten des Bluetooth-Stacks und die Notwendigkeit der Entschlüsselung umgeht.“
Sultan Qasim Khan, ein leitender Sicherheitsberater bei der NCC Group, erklärte in einem Blogbeitrag, dass er den Angriff auf einen 2020er-Tesla Model 3 mit einem iPhone 13 mini getestet hat, auf dem eine aktuelle, aber ältere Version der Tesla-App läuft.
Das iPhone war den Forschern zufolge 25 Meter vom Fahrzeug entfernt und mit zwei Relaisgeräten zwischen dem iPhone und dem Auto platziert. Mit Hilfe dieses Tools konnten die Forscher das Fahrzeug aus der Ferne entriegeln. Das Experiment wurde auch erfolgreich an einem Tesla Model Y aus dem Jahr 2021 durchgeführt, das ebenfalls die „Phone-as-a-key“-Technologie verwendet.
Die benötigte Hardware kostet zusammen mit Khans spezifischer Software ungefähr 100 US-Dollar und kann einfach online gekauft werden. Sobald die Relais eingerichtet sind, dauert der Hack nur „zehn Sekunden“, führt Khan an. Tatsächlich müsse ein Angreifer nicht einmal wissen, wie man codiert, um die Schwachstelle auszunutzen. Er kann zu dem Zweck ein Bluetooth-Entwicklerboard und vorgefertigte Programme verwenden.
Sicherheitslücke bietet vielfältige Angriffsflächen
Obwohl die Sicherheitsforscher den Angriff an Tesla-Fahrzeugen demonstrierten, weist Khan darauf hin, dass jedes Fahrzeug, das BLE für sein schlüsselloses Zugangssystem verwendet, für diesen Angriff anfällig sein könnte.
Da die Technologie so weit verbreitet ist, ist die potenzielle Angriffsfläche riesig. Die NCC Group ist der Meinung, dass der Angriff beispielsweise auch bei smarten Türschlösser von Kwikset und Weiser Kevo greifen könnte. Diese unterstützen BLE für den passiven Zugang durch ihre „Touch-to-Open“-Funktionalität. Zudem nutzen elektronische Geräte, wie Notebooks und Smartphones, BLE.
Sultan Qasim Khan meint, „BLE ist ein Standard für Geräte zum Datenaustausch. Es war nie als Standard für die Proximity-Authentifizierung gedacht“. Er warnt:
„Unsere Forschung zeigt, dass Systeme, auf die sich Menschen verlassen, um ihre Autos, Häuser und privaten Daten zu schützen, Bluetooth-Authentifizierungsmechanismen verwenden. Diese kann man mit billiger Standard-Hardware leicht knacken. Diese Forschung zeigt die Gefahr, Technologien für andere Zwecke als ihren beabsichtigten Zweck zu verwenden. Insbesondere wenn es um Sicherheitsfragen geht.“
Die Forscher teilten ihre Ergebnisse Tesla und der Bluetooth Special Interest Group (SIG) mit, einer Industriegruppe, die die Entwicklung des Bluetooth-Standards beaufsichtigt. Diese entgegneten, dass Relay-Angriffe ein bekanntes Problem bei Bluetooth seien. Sie arbeiteten derzeit an „genaueren Ranging-Mechanismen“. Ein Tesla-Firmenvertreter führte an, dass Relais-Angriffe eine bekannte Schwachstelle des passiven Zugangssystems seien.
Die Sicherheitsforscher empfehlen
„Die NCC Group empfiehlt, dass die SIG ihre Mitarbeiter, die Proximity-Authentifizierungssysteme entwickeln, proaktiv über die Risiken von BLE-Relay-Attacken informiert. Darüber hinaus sollte die Dokumentation deutlich machen, dass Relay-Angriffe praktisch sind und man sie in Bedrohungsmodellen berücksichtigen sollte. Weder die Verschlüsselung auf der Verbindungsschicht, noch die Erwartung eines normalen Reaktionszeitpunkts stellen eine Verteidigung gegen Relay-Angriffe dar.“
Die Forscher ermutigen Tesla-Besitzer, die PIN-to-Drive-Funktion zu verwenden. Dabei müssen sie eine vierstellige PIN eingegeben, bevor sie das Fahrzeug nutzen können. Zudem sollen sie das passive Zugangssystem in der mobilen App deaktivieren.
