Einige Modelle von Honda und Acura sind betroffen von einer neuen Sicherheitslücke, die mithilfe eines Replay-Angriffs ausgenutzt wird. Die Sicherheitslücke ermöglicht es einem Angreifer in der Nähe, das Fahrzeug zu entsperren und sogar den Motor aus kurzer Entfernung zu starten.
Der Angriff besteht darin, das vom Schlüsselanhänger an das Fahrzeug gesendete Radiofrequenzsignal abzufangen und weiterzuleiten, um das Entriegelungssystem des Fahrzeugs zu steuern.
Diese Schwachstelle wurde bei älteren Modellen selten berücksichtigt. Honda-Besitzer können jedoch einige Maßnahmen ergreifen, um sich vor diesem Angriff zu schützen.
Von der drahtlosen Entsperrung bis zum schlüssellosen Motorstart
Bei der als CVE-2022-27254 dokumentierten Sicherheitslücke handelt es sich um einen MitM-Angriff (Man-in-the-middle), genauer gesagt um einen Replay-Angriff, bei dem ein Angreifer die Radiofrequenzsignale abfängt, die normalerweise von einem entfernten Schlüsselanhänger an ein Fahrzeug gesendet werden, diese Signale manipuliert und dann erneut sendet, um das Fahrzeug nach Belieben zu entriegeln.
Ein veröffentlichtes Video demonstriert auch das Starten des Motors aus der Ferne. Bei den betroffenen Autos handelt es sich hauptsächlich um Honda Civic-Modelle der Baujahre 2016-2020 (LX, EX, EX-L, Touring, Si und Type R).
Dies ist nicht das erste Mal, dass ein solcher Fehler in Autos entdeckt wurde.
Im Jahr 2020 wurde ein ähnlicher Fehler publiziert (CVE-2019-20626), der die folgenden Honda- und Acura-Modelle betraf, aber Honda ignorierte den Bericht und sieht offenbar in naher Zukunft nicht vor, die Schwachstelle zu beheben.
- Acura TSX 2009
- Honda Accord V6 Touring Sedan 2016
- 2017 Honda HR-V (CVE-2019-20626)
- 2018 Honda Civic Hatchback
- Honda Civic LX 2020
Honda plant keine Updates für ältere Modelle
Laut Honda verwenden mehrere Autohersteller eine veraltete Technologie, um die Fernverriegelung und -entriegelung zu implementieren, was sie für “entschlossene und technisch hochentwickelte Diebe” anfällig machen könnte.
“Derzeit funktioniert das Gerät nur in unmittelbarer Nähe oder ist physisch am Fahrzeug befestigt und erfordert den lokalen Empfang eines Funksignals vom Schlüsselbund des Autobesitzers, wenn das Fahrzeug in der Nähe geöffnet oder geschlossen wird”, sagte ein Honda-Sprecher.
“Es ist wichtig zu beachten, dass Honda zwar regelmäßig seine Abwehrmaßnahmen verbessert, wenn neue Modelle auf den Markt kommen, dass aber auch entschlossene und technologisch ausgefeilte Diebe daran arbeiten, diese Abwehrmaßnahmen zu überwinden.”
Außerdem behauptet das Unternehmen, dass sich Diebe auch auf andere Weise Zugang zu Autos verschaffen können als durch Hightech-Hacks wie diesen, und dass es keine Beweise dafür gibt, dass Abhörgeräte der fraglichen Art weit verbreitet sind. Dennoch bleibt der Fernstart des Motors problematisch, da es dabei um weit mehr geht, als nur das Türentriegelungssystem zu hacken.
Mögliche Schutzmaßnahmen für Verbraucher
Für Verbraucher bleibt nur die Möglichkeit, den Schlüsselanhänger in einer “Faraday-Tasche” aufzubewahren, die das Signal blockiert, wenn er nicht benutzt wird. Dieser Ansatz verhindert jedoch nicht, dass ein entschlossener Eindringling das Signal abfängt, wenn der Schlüsselanhänger benutzt wird.
Es wird auch empfohlen, den passiven schlüssellosen Zugang (PKE) anstelle des ferngesteuerten schlüssellosen Zugangs (RKE) zu wählen. In diesem Fall ist es für einen Eindringling viel schwieriger, das Signal zu kopieren/lesen, da sie sich in unmittelbarer Nähe zueinander befinden müssen.