Abo
  • Services:

Forscher warnen vor unsicheren Autoschlüsseln

Sicherheit von RFID-Chips nicht ausreichend

Forscher der Johns Hopkins Universität warnen vor unsicheren Autoschlüsseln auf Basis von RFID-Tags, die in den USA auch zum Benzinkauf genutzt werden können. Das System lasse sich mit preiswerten Mitteln umgehen und könnte so leichtes Spiel für Diebe bedeuten.

Artikel veröffentlicht am ,

Die Forscher nutzten nicht sonderlich teure Geräte, mit denen Diebe Autos oder Bezahl-Tags in der näheren Umgebung testen könnten, um dann mit den erhaltenen Informationen deren geheimen Schlüssel zu knacken. Auf diese Weise ließen sich Diebstahlsicherungen verhältnismäßig einfach umgehen oder auf Kosten des Nutzers Benzin kaufen, so die Forscher.

Stellenmarkt
  1. Bundeskriminalamt, Meckenheim
  2. Applied Materials GmbH und Co KG, Alzenau

Die Forscher entdeckten die Probleme bei der Untersuchung des "Registration and Identification System" von Texas Instruments, das auf Basis von RFID arbeitet. Rund 150 Millionen entsprechender Transponder sind den Forschern zufolge in Schlüsseln neuerer Autos von mindestens drei Herstellern im Einsatz. Hinzu kommen rund 6 Millionen Schlüsselanhänger zum drahtlosen Benzinkauf.

In ihrem Papier Analysis of the Texas Instruments DST RFID kommen die Forscher zu dem Schluss, dass die Sicherheitsvorkehrungen des Systems inadäquat sind, fasst Avi Rubin, technischer Direkter des Johns Hopkins Information Security Institute und Autor der Studie, zusammen. Millionen von Tags verfügen laut Rubin über eine Verschlüsselung, die ohne direkten Kontakt geknackt werden könne.

Eigentlich sollen die RFID-Tags verhindern, dass Diebe das Auto ohne den entsprechenden Schlüssel starten können. Dazu wird die Benzinzufuhr unterbrochen, wenn das Auto keinen entsprechenden RFID-Chip identifizieren kann. Ein zufälliger String wird an das RFID-Tag gesendet, von diesem verarbeitet und als numerische Antwort zurückgesendet.

Den Forschern gelang es aber nun, den in dieser Überprüfung genutzten mathematischen Prozess aufzudecken. Dazu benötigten die Forscher etwa 16 speziell programmierte Chips für unter 200,- US-Dollar, um den Code dann innerhalb von 15 Minuten zu knacken. Mit dem so gewonnenen geheimen Schlüssel gelang es dann, das Sicherheitssystem eines Autos zu umgehen und diesem ein korrektes RFID-Tag vorzutäuschen.

Als Abhilfe schlagen die Forscher eine Abschirmung der RFID-Tags vor, sofern diese nicht direkt in Benutzung sind. Aber auch andere Systeme könnten ähnliche Probleme aufweisen, derzeit arbeite man an einem entsprechenden Papier, so die Forscher.



Anzeige
Spiele-Angebote
  1. 8,49€
  2. 59,99€
  3. 24,99€
  4. 4,95€

Folgen Sie uns
       


Samsung Galaxy S9 und S9 Plus - Test

Das Galaxy S9 und das Galaxy S9+ sind Samsungs neue Oberklasse-Smartphones. Golem.de hat sich im Test besonders die neuen Kameras angeschaut, die eine variable Blende haben.

Samsung Galaxy S9 und S9 Plus - Test Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

Oracle vs. Google: Dieses Urteil darf nicht bleiben
Oracle vs. Google
Dieses Urteil darf nicht bleiben

Im Fall Oracle gegen Google fällt ein eigentlich nicht zuständiges Gericht ein für die IT-Industrie eventuell katastrophales Urteil. Denn es kann zu Urhebertrollen, Innovationsblockaden und noch mehr Milliardenklagen führen. Einzige Auswege: der Supreme Court oder Open Source.
Eine Analyse von Sebastian Grüner

  1. Oracle gegen Google Java-Nutzung in Android kein Fair Use

    •  /