Digital Life
29.12.2017

Hacker zeigen Lücken bei Tor-Funksteuerung auf

Wiener Sicherheitsforscher der Firma Trustworks zeigten am Chaos Communication Congress, wie sie eine Funkfernsteuerung des deutschen Herstellers Hörmann geknackt haben.

Die Wiener Markus Kammerstetter und Markus Müllner führen seit 2012 mit ihrer Firma Trustworks Sicherheitstests von Web-, Software- und Hardware-Produkten durch. Hin und wieder testen sie auch auf Eigeninitiative Systeme, die sie „technisch spannend“ finden. Ein mit einem AES Algorithmus verschlüsseltes, sicherheitszertifiziertes Funksystem fällt etwa genau in diese Kategorie „technisch spannend“. Aus diesem Grund haben sich die beiden das System von Hörmann BiSecur, eines deutschen Qualitätsherstellers, vorgenommen.

Sicheres System, ein Fehler

„Die Sicherheitstests in unserem Hardware Security Labor haben gezeigt, dass es sich in der Tat um ein wesentlich besser abgesichertes System im Bereich Torsysteme handelt als sonst am Markt üblich. Entsprechend unseren Analyseergebnissen hat das System ein sichereres Design und auch die (Firmware-) Implementierung wies im Rahmen der durchgeführten Tests keine Schwachstellen auf“, erklärte Kammerstetter im Gespräch mit der futurezone.

Doch einen „gravierenden Fehler“ konnten die beiden Wiener Sicherheitsforscher dennoch im System finden. Konkret beruht die Sicherheit des Gesamtsystems auf der Annahme, dass jede einzelne Fernbedienung ab Fertigung einen individuellen Zufallswert und eine individuelle Seriennummer besitzt. „Genau hier hat der Hersteller eine Sicherheitslücke, indem auf allen bisher verkauften Fernbedienungen derselbe Wert als Zufallszahl verwendet wird“, erklärt Kammerstetter. Die Sicherheitsforscher gehen konkret von „Stückzahlen im Millionen-Bereich“ innerhalb Europas aus.

Produkt nachgebessert

Die Sicherheitsforscher haben im Rahmen eines „Responsible Disclosure“-Prozesses ihre Ergebnisse inklusive Lösungsvorschlag im Oktober an das nationale Team von CERT.at weitergegeben, die dem Hersteller die Ergebnisse zukommen haben lassen. Die futurezone hat bei Hörmann nachgefragt. Dort bestätigte Matthias Hedrich, Geschäftsleiter der Sparte „Antriebstechnik“ bei Hörmann, vor etwa vier Wochen über die Forschungsergebnisse informiert worden zu sein.

Hörmann geht davon aus, dass die Sicherheitslücke in der Praxis nur schwer bis gar nicht von Kriminellen angewandt werden kann. „Wir haben unser Produkt aber natürlich nachgebessert. Die neuen Fernbedienungen sind derzeit im Freigabeprozess und die Lösung wurde der Firma Trustworks ebenfalls zur Verfügung gestellt“, sagt Hedrich.

Was den Forschern gelungen ist

Die Sicherheitsforscher haben ihre Ergebnisse am 34. Chaos Communication Congress (34c3) in Leipzig präsentiert. „Das Resultat ist, dass sämtliche Werte zur Berechnung des geheimen Schlüsselmaterials bekannt sind und ein Angreifer trivialerweise in unter einer Sekunde auf den Schlüssel zurück rechnen kann“, sagt Kammerstetter. Dafür sei zunächst ein sehr hoher und zeitintensiver Programmieraufwand und ein spezielles Expertenwissen notwendig – wie auch die Arbeit von Trustworks gezeigt hat, so Hedrich von Hörmann.

„Schneidet man einmal die Kommunikation zwischen einem Handsender und dem Tor mit, so erlangt man die Seriennummer und kann folglich sehr einfach den geheimen Schlüssel errechnen. Damit kann dann fortan auch ein Fremder ihr Tor öffnen.“ Die Lösung wäre daher aus der Sicht Kammerstetters, die zur Generierung des geheimen Schlüssels verwendeten Zufallszahlen auszutauschen. Bestehende Kunden könnten sich an den Hersteller wenden, damit dieser ihre Fernbedienung mit einer nachgebesserten Version austauscht.

"Nebentür aufbrechen wäre einfacher"

Das sieht Hörmann selbst anders. "Einbrecher verfügen nicht über das zuvor beschriebene Expertenwissen. Die Wahrscheinlichkeit ist um ein Vielfaches höher, dass sie sich einen Zugang über die üblichen neuralgischen Punkte wie Fenster und Terrassentüren verschaffen", sagt Hedrich. Nachmachen, was die Sicherheitsforscher am Congress gezeigt haben, könnten „sicherlich nur Experten, nicht jeder“. „Es bedarf schon einiges an internem Wissen über unseren Funk, und zusätzlich einer großen technischen Ausstattung, die nur in fünf professionellen Laboratorien in Europa zur Verfügung stehen. sehr teuer ist, um unseren Funkcode eventuell knacken zu können.“

Dem widerspricht Kammerstetter: „Ein gewisses Maß an technischem Know-How vorausgesetzt, geht das mit sehr einfachen Mitteln, mit einer Bastellösung um rund 200 Euro.“ Voraussetzung dafür ist aber die besagt technische Ausstattung eines der professionellen Laboratorien“, entgegnet Hedrich. Kammerstetter betont zudem, dass sie keine Details von der Implementierung bekannt geben werden. „Wir wollen nicht, dass jemand mit unseren Ergebnissen einbrechen geht. Aber es ist freilich möglich, sich diese Informationen selbst zu beschaffen“, sagt Kammerstetter. „Aus unserer Sicht besteht daher sehr wohl Handlungsbedarf, die Schwachstelle zu beheben.“

Auf Anfrage bestätigte Hörmann, dass an der Nachbesserung bereits gearbeitet wird. „Unser Funksystem ist deutlich sicherer als andere Funksysteme am Markt. Es besteht kein Grund zur Beunruhigung.“ Wie viele betroffene Hörmann-Systeme nach Österreich verkauft worden sind, ist unbekannt. Das System dürfte allerdings laut Angaben der Sicherheitsforscher hier weit verbreitet sein.