Bluetooth-Hack kompromittiert Teslas, digitale Schlösser und mehr

Eine Gruppe von Sicherheitsforschern hat einen Weg gefunden, digitale Schlösser und andere Sicherheitssysteme zu umgehen, die zur Authentifizierung auf die Nähe eines Bluetooth -Schlüsselanhängers oder Smartphones angewiesen sind.

Mithilfe eines sogenannten „Link-Layer-Relay-Angriffs“ war das Sicherheitsberatungsunternehmen NCC Group in der Lage, Fahrzeuge zu entriegeln, zu starten und zu fahren und bestimmte intelligente Wohnschlösser ohne den Bluetooth-basierten Schlüssel irgendwo in der Nähe zu entriegeln und zu öffnen.

Sultan Qasim Khan, der leitende Sicherheitsberater und Forscher der NCC Group, demonstrierte den Angriff auf ein Tesla Model 3 , obwohl er anmerkt, dass das Problem nicht spezifisch für Tesla ist. Jedes Fahrzeug, das Bluetooth Low Energy (BLE) für sein schlüsselloses Zugangssystem verwendet, wäre anfällig für diesen Angriff.

Viele Smart Locks seien ebenfalls angreifbar, fügt Khan hinzu. Seine Firma nannte speziell die Kwikset/Weiser Kevo -Modelle, da diese eine Touch-to-Open-Funktion verwenden, die auf der passiven Erkennung eines Bluetooth-Schlüsselanhängers oder Smartphones in der Nähe beruht. Da der Besitzer des Schlosses nicht mit dem Bluetooth-Gerät interagieren muss, um zu bestätigen, dass er die Tür aufschließen möchte, kann ein Hacker die Bluetooth-Anmeldeinformationen des Schlüssels von einem entfernten Standort aus weiterleiten und die Tür einer anderen Person öffnen, selbst wenn der Hausbesitzer Tausende von Kilometern entfernt ist.

Wie es funktioniert

Dieser Exploit erfordert immer noch, dass der Angreifer Zugriff auf das eigentliche Bluetooth-Gerät oder den Schlüsselanhänger des Besitzers hat. Was es jedoch potenziell gefährlich macht, ist, dass sich der echte Bluetooth-Schlüssel nicht in der Nähe des Fahrzeugs, des Schlosses oder anderer gesicherter Geräte befinden muss.

Stattdessen werden Bluetooth-Signale zwischen Schloss und Schlüssel über ein Paar Bluetooth-Zwischengeräte weitergeleitet, die mit einer anderen Methode verbunden sind – normalerweise über eine normale Internetverbindung. Das Ergebnis ist, dass das Schloss das Bluetooth-Gerät des Hackers in der Nähe so behandelt, als wäre es der gültige Schlüssel.

Wie Khan erklärt: „Wir können ein Bluetooth-Gerät davon überzeugen, dass wir uns in der Nähe befinden – selbst aus Hunderten von Kilometern Entfernung […] selbst wenn der Anbieter Abwehrmaßnahmen wie Verschlüsselung und Latenzbegrenzung ergriffen hat, um diese Kommunikation theoretisch vor Angreifern aus der Ferne zu schützen. ”

Der Exploit umgeht den üblichen Schutz vor Relay-Angriffen, da er auf einer sehr niedrigen Ebene des Bluetooth-Stacks arbeitet, sodass es keine Rolle spielt, ob die Daten verschlüsselt sind, und er fügt der Verbindung fast keine Latenz hinzu. Die Zielsperre kann nicht wissen, dass sie nicht mit dem legitimen Bluetooth-Gerät kommuniziert.

Da viele Bluetooth-Sicherheitsschlüssel passiv funktionieren, müsste ein Dieb nur ein Gerät in die Nähe des Besitzers und das andere in die Nähe des Zielschlosses bringen. Beispielsweise könnten zwei Diebe zusammenarbeiten, um einem Tesla-Besitzer von seinem Fahrzeug weg zu folgen und die Bluetooth-Signale zurück an das Auto weiterzuleiten, damit es gestohlen werden kann, sobald der Besitzer weit genug entfernt ist.

Diese Angriffe könnten mit ausreichender Koordination sogar über große Entfernungen durchgeführt werden. Eine Person, die in London Urlaub macht, könnte ihre Bluetooth-Schlüssel an ihre Türschlösser zu Hause in Los Angeles übertragen lassen, sodass sich ein Dieb schnell Zugang verschaffen kann, indem er einfach das Schloss berührt.

Das geht auch über Autos und Smart Locks hinaus. Forscher stellen fest, dass es verwendet werden könnte, um Laptops zu entsperren, die auf Bluetooth-Näherungserkennung angewiesen sind, um zu verhindern, dass Mobiltelefone gesperrt werden, Gebäudezugangskontrollsysteme zu umgehen und sogar den Standort eines Vermögenswerts oder eines medizinischen Patienten zu fälschen.

NCC Group fügt hinzu, dass dies kein herkömmlicher Fehler ist, der mit einem einfachen Software-Patch behoben werden kann. Es ist nicht einmal ein Fehler in der Bluetooth-Spezifikation. Stattdessen ist es eine Frage der Verwendung des falschen Werkzeugs für den Job. Bluetooth wurde nie für die Proximity-Authentifizierung entwickelt – zumindest nicht „für den Einsatz in kritischen Systemen wie Schließmechanismen“, stellt das Unternehmen fest.

So schützen Sie sich

Zunächst ist es wichtig zu bedenken, dass diese Schwachstelle spezifisch für Systeme ist, die sich ausschließlich auf die passive Erkennung eines Bluetooth-Geräts verlassen.

Beispielsweise kann dieser Exploit realistischerweise nicht dazu verwendet werden, Sicherheitssysteme zu umgehen, die erfordern, dass Sie Ihr Smartphone entsperren, eine bestimmte App öffnen oder eine andere Aktion ausführen, wie z. B. das Drücken einer Taste auf einem Schlüsselanhänger. In diesem Fall muss kein Bluetooth-Signal weitergeleitet werden, bis Sie diese Aktion ausführen – und Sie werden im Allgemeinen nicht versuchen, Ihr Auto, Ihre Tür oder Ihren Laptop zu entriegeln, wenn Sie sich nicht in der Nähe befinden.

Dies ist normalerweise auch kein Problem für Apps, die Schritte unternehmen, um Ihren Standort zu bestätigen. Die automatische Entsperrfunktion des beliebten Smart Lock von August basiert beispielsweise auf der Bluetooth-Näherungserkennung, aber die App überprüft auch Ihren GPS-Standort, um sicherzustellen, dass Sie tatsächlich nach Hause zurückkehren. Es kann weder verwendet werden, um Ihre Tür zu entriegeln, wenn Sie bereits zu Hause sind, noch kann es Ihre Tür öffnen, wenn Sie meilenweit von zu Hause entfernt sind.

Wenn Ihr Sicherheitssystem dies zulässt, sollten Sie einen zusätzlichen Authentifizierungsschritt aktivieren, bei dem Sie einige Maßnahmen ergreifen müssen, bevor die Bluetooth-Anmeldeinformationen an Ihr Schloss gesendet werden. Kwikset hat beispielsweise gesagt, dass Kunden, die ein iPhone verwenden, die Zwei-Faktor-Authentifizierung in ihrer Sperr-App aktivieren können, und plant, dies bald zu seiner Android-App hinzuzufügen. Die Kevo-Anwendung von Kwikset deaktiviert auch die Proximity-Unlocking-Funktion, wenn das Telefon des Benutzers über einen längeren Zeitraum stationär war.

Beachten Sie, dass Entsperrlösungen, die eine Mischung aus Bluetooth und anderen Protokollen verwenden, für diesen Angriff nicht anfällig sind. Ein typisches Beispiel dafür ist Apples Funktion, mit der Leute ihren Mac mit ihrer Apple Watch entsperren können . Obwohl dies zunächst Bluetooth verwendet, um die Apple Watch in der Nähe zu erkennen, misst es die tatsächliche Nähe über Wi-Fi – eine Abschwächung, von der Apples Führungskräfte ausdrücklich sagten, dass sie hinzugefügt wurde, um Bluetooth-Relay-Angriffe zu verhindern .

Die NCC Group hat einen technischen Ratgeber zur Schwachstelle Bluetooth Low Energy und separate Bulletins darüber veröffentlicht, wie sie sich auf Tesla-Fahrzeuge und Kwikset/Weiser-Schlösser auswirkt.