Sleutelsysteem miljoenen auto's Volkswagen Group gekraakt
Onderzoekers zijn erin geslaagd om het sleutelsysteem van de Volkswagen Group te kraken waardoor het mogelijk is om op afstand miljoenen auto's te openen. Naast Volkswagens, Audi's en Skoda's zijn ook auto's van Alfa Romeo, Citroen, Fiat, Ford Mitsubishi, Nissan, Opel en Peugeot niet veilig.
Dat meldt Wired op basis van dit onderzoek (pdf). Het gaat om twee verschillende aanvallen waarbij de onderzoekers met goedkope hardware het signaal van de sleutel opvangen en hiermee de sleutel klonen. De eerste aanval richt zich op auto's van de Volkswagen Group. In het netwerk van de auto wisten de onderzoekers een cryptografische sleutel te vinden die door miljoenen Volkswagens wordt gedeeld. Door vervolgens het signaal van de autosleutel op te vangen, dat voor elke autosleutel uniek is, is het samen met cryptografische sleutel mogelijk om de autosleutel te klonen. Hiermee kan vervolgens de auto worden opengemaakt.
Volkswagen gebruikt verschillende cryptografische sleutels voor verschillende jaren en modellen. De vier meestvoorkomende cryptografische sleutels worden echter door 100 miljoen Volkswagens gebruikt die in de afgelopen 20 jaar zijn verkocht, waaronder Audi en Skoda. Om de aanval uit te voeren moet een aanvaller wel binnen een straal van 90 meter van het voertuig zijn.
Tweede aanval
De tweede aanval richt zich op de HiTag2-encryptie die andere fabrikanten gebruiken en in miljoenen auto's aanwezig is. Ook bij deze aanval onderscheppen de onderzoekers de signalen van de sleutel. In totaal moet een aanvaller vier tot acht signalen van de sleutel opvangen. Om dit te doen kan een aanvaller bijvoorbeeld het signaal van de autosleutel blokkeren, zodat de bestuurder een aantal keren op zijn sleutel drukt.
Met de onderschepte signalen kan de HiTag2-encryptie binnen een minuut worden gekraakt. Chipfabrikant NXP, dat de chips met de kwetsbare HiTag2-encryptie aan autofabrikanten verkoopt, zegt dat al jaren wordt aangeraden om een nieuwere encryptie te gebruiken. Volgens de onderzoekers heeft hun onderzoek op miljoenen auto's betrekking en kan het onopgeloste verzekeringsgevallen verklaren waarbij spullen uit vermeende gesloten auto's werden gestolen. Om autodieven niet te helpen zijn bepaalde onderzoeksgegevens, zoals encryptiesleutels, niet openbaar gemaakt. Daarnaast werd Volkswagen voor de publicatie van het onderzoek ingelicht.
Zucht Ja laten we het publiceren. Kijk eens hoe slecht, hiermee kunnen we miljoenen auto's stelen.....
Waarom zou je dat nou willen? Dat is toch totaal niet in belang van de consumenten? In dergelijke gevallen is het beter om de gegevens gewoon niet beschikbaar te maken of je moet het als dwangmiddel willen gebruiken om een fabrikant te dwingen tot een oplossing, die er niet gaat komen voor de huidige auto's.
Vrijwel elke auto werkt tegenwoordig met zo'n sleutel systeem.
Zelfs scooters hebben zo iets in de sleutel zitten.
https://www.bearlock.nl/
Boeven.
Boeven.
Nee, simpeler dan dat... die prutser-managers bij die autoclubjes kunnen gewoon de consequenties niet overzien van hun beslissingen (en zijn daarmee incapabel om zo'n bedrijf te runnen, maar ach, de excel-sheet-geilberen, eh, de aandeelhouders zien liever dat het slotje op de auto 1 euro kost, dan 1,04 euro.
Een goede auto-fabrikant manager zou moeten inzien dat het 'verbieden' van deze informatie om miljoenen auto's te openen de verkeerde manier is. De 'boeven' weten dit al lang... er zijn al honderden filmpjes van mensen die VW, Audi, Skoda maar ook BMW's stelen zonder hier voor meer dan 8 seconden bezig te zijn... Verbieden zorgt er alleen maar voor dat het klootjesvolk rustig verder slaapt terwijl mijn auto verzekering duurder wordt omdat een duitse gluipert niet 4 cent per auto meer wilde uitgeven voor een encryptie die het 10 jaar langer vol zou houden.
Niet alleen dat, maar een goede sec-officer bij een VW zou moeten inzien dat een digitale oplossing altijd zorgt voor een digitale shitload... Een fysieke sleutel copieren kost tijd, energie en geld... een digitale sleutel copieren kost alleen wat CPU tikken... maar dat digitale besef bestaat in ieder geval niet bij de duitsers....
Boeven.
Maar dit heeft niks met het stelen te maken, want daarvoor heb je aan die code niet genoeg.
Deze code is alleen om de deuren te openen. Als je de motor wilt starten moet je nog een 2e beveiliging voorbij die
werkt met een soort RFID chip in de sleutel die op korte afstand wordt uitgelezen als de sleutel omgedraaid wordt.
Met deze methode kun je dus alleen auto's openmaken. En echt, daar heeft het rapalje veel simpeler methoden voor
dan rommelen met een code! gewoon een schroevendraaier door het blik slaan net naast of onder het slot volstaat prima.
NXP is dat niet het gevaarlijke bedrijf dat over een paar jaar elke Europese auto tol laat betalen en de prive-gegevens deelt met overheden ?
NXP is dat niet het gevaarlijke bedrijf dat in opdracht van de overheid het OV gesloten heeft gemaakt ? en alle prive/reis-gegevens van alle OV-reizigers deelt met overheden en commerciele partijen ?
NXP is dat niet ...
etc... ?
Maar gaat U rustig slapen er is niets aan de hand . . .
Tijd dat fabrikanten eens aangesproken worden op dit soort falen.
Dat maakt naar de toekomst toe de enige manier dat ze dit soort risico's eens oplossen ipv accepteren.
Zucht Ja laten we het publiceren. Kijk eens hoe slecht, hiermee kunnen we miljoenen auto's stelen.....
Waarom zou je dat nou willen? Dat is toch totaal niet in belang van de consumenten? In dergelijke gevallen is het beter om de gegevens gewoon niet beschikbaar te maken of je moet het als dwangmiddel willen gebruiken om een fabrikant te dwingen tot een oplossing, die er niet gaat komen voor de huidige auto's.
Laten we het inderdaad de consument niet vertellen. Die moet maar gewoon verbijsterd staan kijken naar de lege plek waar net haar Touran nog stond, zoals een dame in onze straat vorig jaar.
Het is natuurlijk niet de bedoeling dat mensen het weten en dan zelf tegenmaatregelen gaan treffen zoals een extra slot.
Dit heeft met vrije markt niks te maken, tenminste, het gaat alleen nog om de vrije markt van aandeelhouders en speculanten, niet om de consumenten. Want die hebben niks te kiezen.
In de Duitse media worden ook de getroffen modellen vermeld, zie bijvoorbeeld http://www.sueddeutsche.de/auto/funkfernbedienungen-geknackt-sicherheitsluecke-bei-millionen-autos-1.3116841 . Nadere informatie voor autobezitters zie ik nergens. Zouden de autofabrikanten alle autobezitters maar gewoon laten door rijden met hun onveilige auto's?
http://nfctimes.com/news/nxp-wins-back-nfc-controller-business-samsung-flagship-misses-embedded-chip
Smijt je smartphone maar bij het vuilnis...
Dat heb ik jaren geleden mijn vriendin aangeraden,omdat ze wel eens wat vergeet( deuren auto sluiten)
Dus wat is het probleem?
Ik vind het sowieso overdreven al die afstandbedieninkjes.
Ik doe bijv. ook niet mee aan dat contactdoos betalen.
Waarom moet alles zo snel?
Omdat je dan meer tijd overhoudt?
Je hebt juist meer tijd als je ergens de tijd( en aandacht) voor neemt!
En als het dan toch doet en niet erg goed oplet is het dan ook nog een DIESEL; nou zeg!!
Inderdaad, knip de draden die naar de sloten gaan door, en klaar.
Wat moet ik nu met een smart broodrooster? Eerstens wordt het brood in een niet smart rooster ook wel bruin, tweedens wie maakt antvirus-software en zorgt voor auto-upodates voor een broodrooster? Of strijkbout? Of diepvriezer. En inderdaad domotica is wat de term zegt, dom otica.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
