Der Sicherheitsforscher Samy Kamkar ist seit längerem bekannt für seine Fähigkeiten. Zu seinen grössten Coups zählt etwa der harmlose MySpace-Virus, der zu den sich schnellst verbreitenden Viren aller Zeiten zählt. Er bewegte MySpace sogar dazu, vorübergehend offline zu gehen.

Vor einem Monat kündigte Kamkar an, die App RemoteLink von General Motors hacken zu können. Mit ihr lassen sich Türen öffnen oder der Motor starten. Jetzt hat Kamkar an der DefCon-Konferenz in Las Vegas gemäss 'The Register' erklärt von Ende Juli vor.

In die Hardware musste er ein paar hundert Dollar investieren, unter anderem in einen Mattel GirlTech IM-ME, ein Text-Messenger in pinkem Gehäuse.

Um überhaupt an das Auto heranzukommen, hat sich Kamkar gleich noch Garagenöffner vorgeknöpft. Über die Herstellerangaben eines Garagentor-Öffners fand Kamkar Frequenz und Modulation des Funksignals. Damit ist eine Bruteforce-Attacke möglich, die die 12-bit-Verschlüsselung des Tors innert dreissig Minuten knacken kann.

Weil ihm das zu lange war, annullierte er die standardmässige Verzügerung des Signals um zwei Millisekunden. Ausserdem sendete der Garagenöffner den PIN-Code fünf Mal, um sicher zu gehen, dass das Garagentor das Signal erhält. Um weiter Zeit zu sparen, beschränkte Kamkar die Kommunikation auf den einmaligen Austausch von Informationen. So widerstand die Verschlüsselung einer Attacke nur noch maximal drei Minuten. Weil das Kamkar immer noch zu lange war, verfeinerte er seine Attacke mit einem Algorithmus des Mathematikers Nicolas De Brujin, der die Reihenfolge abgefragter Bit-Sequenzen so optimiert, dass weniger Bits transportiert werden müssen. Resultat war, dass Kamkar am Ende jedes beliebige Garagentor mit 8-bit bis 12-bit-Verschlüssselung in acht Sekunden öffnen konnte.

Kamkar will den fertigen Code seiner Attacke veröffentlichen. Allerdings werde er mit Bugs präpariert sein, die wahrscheinlich nur Profis beheben können. Kleinkriminelle dürften sich hingegen die Zähne ausbeissen, meinte Kamkar.

Auto öffnen mit Man-in-the-middle-Angriff

Noch raffinierter ging Kamkar vor, um anschliessend das Auto selbst knacken zu können. Dazu hat er sein Gerät in der Nähe des Autos platziert, um die Kommunikation zwischen Auto und Smartphone-App abfangen zu können. Die gesendeten Schlüssel seien üblicherweise mit 40 bis 60-bit verschlüsselt und nur einmal einsetzbar. Erhält das Auto denselben Schlüssel ein zweites Mal, ignoriert es ihn. Das soll Attacken mit abgefangenen Schlüsseln verhindern. Kamkar trickst diesen Sicherheitsmechanismus aus, indem er einen kleinen Störsender mit einer fein kalibrierten Antenne kombiniert: Der Störsender verhindert, dass das Auto den gesendeten Code empfängt. Der Code landet nur bei Kamkar. Der Nutzer denkt, dass irgendetwas zwischen App und Auto nicht geklappt hat und drückt ein zweites Mal. Ein neuer Schlüssel wird gesendet, den Kamkar ebenfalls abfängt. Kurz darauf schickt er dem Auto den ersten Schlüssel. Das Auto öffnet sich, der Fahrer ist zufrieden – und weiss nicht, dass Kamkar jetzt einen Schlüssel übrig hat, den er jederzeit für den Zugang zum Auto einsetzen kann.

Die Folien seiner Präsentation an der DefCon-Konferenz sind auf Kamkars Website zu finden (PDF, ~20MB). (mik)