Was tun beim Honda Key Fob Hack?

Eine neue Schwachstelle macht derzeit die Runde und beeinträchtigt massiv die Sicherheit bestimmter Fahrzeugmodelle – der Rolling-PWN-Angriff, auch bekannt als Honda Key Fob Hack. Die Lücke ermöglicht das unbefugte Öffnen von Autotüren und unter Umständen sogar das Starten des Motors. Wie läuft das Angriffsszenario konkret ab? Und wie können OEMs mit der Bedrohung umgehen, um ihre Fahrzeuge wirksam zu schützen?

Tel Aviv / Berlin, 09.08.2022 /

Das Rolling-PWN-Szenario beschreibt einen Angriff auf verschiedene Honda-Fahrzeugmodelle mit einem Baujahr ab 2012 – daher auch der Name „Honda Key Fob Hack“. Dennoch beschränkt sich die Attacke nicht ausschließlich auf Honda, sondern betrifft auch viele andere Fahrzeugmarken weltweit. Im Rahmen des Angriffs wird ein sogenannter „Replay auf Distanz“ mit dem Remote Key Entry (RKE) ausgeführt, was Autotüren ungewollt öffnen und möglicherweise sogar den Motor starten kann. Bei einem Replay-Angriff zeichnet der Hacker die Kommunikationssequenz der Tastenbefehle auf und spielt sie später erneut gegen das Zielfahrzeug ab.

Um die Sicherheit zu optimieren, setzt Honda auf eine Rolling-Key-Methode, bei der sich der Schlüsselanhänger und das Auto in der Schlüsselbefehlssequenz synchronisieren. Dies macht einen einfachen Replay-Angriff wirkungslos. Der im Body Control Module (BCM) von Honda verwendete Algorithmus kann mit mehreren verwendeten Schlüsselanhängern, versehentlichen Tastendrücken und anderen Problemfällen umgehen. Dazu verfügt der Fahrzeugempfänger über eine Palette an erlaubten Tastenbefehlen. Dies eröffnet jedoch ein Einfallstor für Hacker, um die Schlüsselbefehle abzufangen. Die Rolling-PWN-Schwachstelle besteht immer noch und betrifft zahlreiche Honda-Fahrzeuge, die aktuell im Einsatz sind.

Optionen zur Entschärfung der Schwachstelle

Die Entschärfung dieses Problems gestaltet sich sehr komplex, da die Sicherheitslücke sowohl die Schlüsselanhänger als auch das Fahrzeug betrifft. So ist es nicht praktikabel, die Software aller Schlüsselanhänger der Fahrzeughalter zu ersetzen oder zu aktualisieren und gleichzeitig die Software des BCM im Fahrzeug upzudaten. Vielmehr sind einige andere Optionen denkbar, um die Auswirkungen der Schwachstelle in den Griff zu bekommen. Dazu zählen beispielsweise Over-the-Air (OTA)-Updates, die über ein drahtloses Netzwerk an Fahrzeuge und BCMs gesendet werden, die OTA unterstützen. Eine weitere Möglichkeit sind Software-Updates in einem Service-Center – entweder im Rahmen einer aufwändigen und teuren Rückrufaktion oder während einer geplanten, regelmäßigen Servicewartung. Eine andere Option besteht darin, ein Challenge- und Response-Protokoll zwischen dem Auto und dem Schlüsselanhänger hinzuzufügen, das die Authentizität des Schlüsselanhängers und die Aktualität der Nachricht sicherstellt.

Automatisiertes Schwachstellenmanagement schützt effektiv

Um jedoch eine maximale Sicherheit zu gewährleisten, ist den OEMs der Einsatz eines Systems für das kontinuierliche, automatisierte Schwachstellenmanagement wie Cymotive Car Alert dringend zu empfehlen. Damit lassen sich Sicherheitslücken bereits im Zeitpunkt der Entdeckung wirksam entschärfen. Sobald eine Schwachstelle wie die Rolling-PWN erkannt wird, analysiert das System die möglichen Risiken. Es identifiziert dabei die Auswirkungen sowie potenzielle Schäden am Fahrzeug und visualisiert diese. Schließlich schlägt das System einen effektiven Plan vor, um die Risiken und Gefahren zu mindern. OEMs können dann selbst die richtige Vorgehensweise wählen und ausführen – wie beispielsweise die Installation einer korrigierten Softwareversion auf den Fahrzeugen über eine OTA- oder OBD-II-Schnittstelle.

Jetzt teilen:

Über CYMOTIVE Technologies GmbH

Das in Tel Aviv/Berlin ansässige Unternehmen CYMOTIVE Technologies entwickelt innovative End-to-End-Sicherheitslösungen zum Schutz der heutigen und zukünftigen Smart Mobility vor Cyberbedrohungen. CYMOTIVE-Kunden, Automobilhersteller und Tier-1-Zulieferer, profitieren von ganzheitlichen Sicherheitslösungen, die das gesamte digitale Ökosystem eines Fahrzeugs in jeder Phase seines Lebenszyklus abdecken. Das Unternehmen wird von den hochkarätigen israelischen Sicherheitsexperten Yuval Diskin, Tsafrir Kats und Dr. Tamir Bechor geleitet. Derzeit beschäftigt das Unternehmen 120 Sicherheitsexperten an drei Standorten in Israel und Deutschland und wächst stetig. Weitere Informationen finden Sie unter https://www.cymotive.com/de.

CYMOTIVE Technologies GmbH auf:

Pressekontakt CYMOTIVE Technologies GmbH

Susan Friedman Becker
Marketing Manager
susan.becker@cymotive.com
CYMOTIVE Technologies LTD
Yigal Alon St. 94
Tel-Aviv, Israel, 6789155

Kontakt PR-Agentur

Schwartz Public Relations
Sendlinger Straße 42A
D-80331 München

Stephanie Thoma
Tel.: +49 (0) 89 211 871 46
E-Mail: st@schwartzpr.de

Louisa Struif
Tel.: +49 (0) 89 211 871 59
E-Mail: ls@schwartzpr.de

Downloads

Klicken Sie auf ein Bild, um eine große Version des Bildes anzuzeigen (und dann Download per Rechtsklick).

    Weitere Beiträge
    des Kunden