Experten für Cybersicherheit im Automobilbereich sind jedoch immer noch der Meinung, ob digitale Schlüssel so sicher sind, wie die Branche behauptet.
Kent sagte, eine Reihe neuer Autodiebstähle im Vereinigten Königreich, bei denen es um Neuwagen mit schlüssellosen Systemen ging, die mithilfe von Relay-Angriffen oder „Schlüsselklonen“ gehackt wurden, zeigen, wie die Branche die Fahrzeugsicherheit unterschätzt.
Autohersteller haben auf Angriffe durch das Klonen von Schlüsseln mit Schlüsseln reagiert, die in den Ruhemodus wechseln. Fahrzeugbesitzer haben eine andere Strategie ausprobiert und beispielsweise die Schlüssel in einem Metallbehälter wie Kaffeedosen oder Pfefferminzdosen aufbewahrt.
Ein weiteres Beispiel sind die Kia-Boy-Angriffe, bei denen Diebe die Lenkradsäule des Zündschlüssels in Hyundai- und Kia-Modellen abbrechen und sie mithilfe eines USB-Anschlusses kurzschließen.
Kia und Hyundai – Schwesterunternehmen – haben ein Software-Update herausgegeben, um das Problem zu beheben, aber Automobilnachrichten berichtet, dass die Lösung der Hyundai Motor Group nicht perfekt funktioniert.
„Es ist weder machbar noch realistisch, diese wichtige Sicherheitsmaßnahme frontal anzugreifen“, sagte Tindell.
Autodiebe wenden sich vom Schlüsselklonen ab, weil Autohersteller wie Toyota robuste Verschlüsselungssysteme zwischen ihre Schlüssel und die elektronische Steuereinheit des Smart Keys einbauen, einen dedizierten Chip mit Software oder Firmware, der die Sicherheit und den Zugang in ihren Fahrzeugen kontrolliert, um den Schlüssel zu authentifizieren, so Tindell genannt.
Er verglich die Hacks und Gegenmaßnahmen zwischen Autodieben, Hackern und Autoherstellern mit einem Wettrüsten.
Autodiebe entwickeln beispielsweise eine Angriffsmethode namens Controller Area Network Injection, sagte Tindell. Die CAN-Einspritzung umgeht die serienmäßige Diebstahlsicherung, indem sie die Rückseite umgeht.
Autodiebe und Hacker müssen physisch in das interne Netzwerk eines Autos eindringen, was ihnen möglich ist, wenn es sich an einem leicht zugänglichen Ort im Fahrzeug befindet, sagte Tindell.
In einem Blogbeitrag erläuterte Tindell, wie Autodiebe in Großbritannien einen Toyota RAV4 von Ian Tabor, einem Cybersicherheitsforscher und Berater für Automobiltechnik bei der Schweizer EDAG Engineering Group, gestohlen haben.
Diebe brachen in den CAN-Anschluss des RAV4 in der Nähe der Scheinwerfer ein, um an die Schlüssel-Sicherheits-ECU für Motor und Türen zu gelangen.
„In gewisser Weise ist es wie eine Burg mit einer Zugbrücke und einem Fallgitter und einer Barbakane, um den Vordereingang zu sichern, und einer unbewachten Hintertür mit einem billigen Vorhängeschloss“, sagte Tindell.
Um diese CAN-Injection-Angriffe abzuwehren, benötigen Autohersteller eine Authentifizierung und Verschlüsselung für die digitale Kommunikation zwischen der Tür und dem Motor eines Autos, sagte Tindell. Sie benötigen eine Art Anmeldeinformations- oder Tokensystem.
„Wenn Ihr Telefon sagt: ‚Versuchen Sie, das Auto zu öffnen?‘, ist das wahrscheinlich zu viel, aber es geht in die Richtung, in die es meiner Meinung nach gehen wird“, sagte Kent.