Honda Sicherheitslücke ermöglicht Öffnen und Starten aus der Ferne

In einem Testversuch ist es Sicherheitsforschern gelungen, eine Honda Sicherheitslücke auszunutzen, indem der Funkschlüssel verschiedener Fahrzeugmodelle des Herstellers gehackt wurde. Damit ließen sich die Autos aus der Ferne öffnen und starten.

Honda Sicherheitslücke ermöglicht Fernzugriff

Die Forscher Kevin2600 und Wesley Li von der Sicherheitsfirma Star-V Lab haben mithilfe eines simplen Tests die Funkschlüssel verschiedener Honda-Modelle geknackt und konnten so die Fahrzeuge öffnen und starten.

Sie nennen das Ganze einen „RollingPWN“-Angriff weil sie davon ausgehen, dass ein derartiger fernzugriff bei Fahrzeugen anderer Hersteller genauso leicht möglich wäre. Betroffen von der Honda Sicherheitslücke seien sämtliche Modelle des Herstellers aus den Jahren 2012 bis 2022. Zehn verschiedene Fahrzeuge seien vom Duo getestet worden.

„Wir haben erfolgreich die neuesten Modelle von Honda-Fahrzeugen getestet. Und wir gehen stark davon aus, dass die Anfälligkeit alle Honda-Modelle betrifft, die es aktuell auf dem Markt gibt,“ schreiben die Sicherheitsforscher im Bericht.

Autoschlüssel noch immer unsicher

Genutzt wurde dazu eine verwundbare Version des Rolling-Codes-Mechanismus in den Schlüsseln. Dieser dient eigentlich als Authentifizierungsmethode bei funkbasierten Schlüsselsystemen, bei dem der Sender einen sich stets ändernden sogenannten Next-Code an den Empfänger übermittelt.

Das soll eigentlich Replay-Angriffe verhindern, da jeder Next-Code einzigartig ist. „Der Rolling-PWN-Bug ist eine ernsthafte Schwachstelle,“ schreiben die Forscher weiter.

Das deckt sich mit den Ergebnissen eines Tests, den der deutsche Automobilclub ADAC im Februar dieses Jahres veröffentlicht hatte. Darin kann man zu dem Ergebnis, dass Keyless-Systeme in nur 24 von 500 Autos ausreichend geschützt seien.

Honda selbst verfügt offenbar über kein Meldesystem für Schwachstellen in den Sicherheitssystemen, wie die Sicherheitsforscher weiter ausführen. Demnach habe man sich, auf Geheiß eines Honda-Mitarbeiters, mit dem Kundenservice in Verbindung gesetzt, um den Automobilhersteller über die Probleme zu informieren.

Honda plant keine Updates

Die Website BleepingComputer hat sich daraufhin an Honda gewandt, die mit einem nicht wirklich zufriedenstellenden Statement darauf reagiert haben. Demnach habe man die Informationen des Forscherteams noch nicht verifiziert und könne aktuelle keine Anfälligkeit der eigenen Fahrzeuge feststellen.

Sollte es aber eine Anfälligkeit geben, habe „Honda aktuell keine Pläne, ältere Fahrzeuge mit einem Update zu versehen“. Als Grund gibt man an, dass entsprechende Hacks nur aus einer kurzen Distanz zum jeweiligen Auto möglich seien.

Gegenüber dem Magazin Motherboard kommt Honda zu einer ganz ähnlichen Aussage. Darin heißt es, man sehe in den Beweisvideos der Sicherheitsforscher keine ausreichenden Belege für einen Bug bzw. ein Problem.

• Mehr Sicherheit für Autos: EU-Verordnung macht Assistenzsysteme zur Pflicht

Die Forscher hingegen empfehlen, betroffene Fahrzeuge in der Werkstatt mittels Over-the-Air-Updates (OTA) aktualisieren zu lassen, sofern diese Option überhaupt angeboten würde. Ob die Sicherheitslücke bei dem eigenen Auto ausgenutzt worden sei, ließe sich demnach nicht nachweisen. Es ist also Vorsicht geboten.