Was haben Kanye West und Tesla gemeinsam?

Beide nehmen Cyber Security nicht ernst.

Kanye Wests IPhone Passwort lautet “ 000000“

Immer wieder macht Kanye West im Zusammenhang mit dem amerikanischen Präsident Donald Trump Schlagzeilen. Zuletzt aber nicht aufgrund seiner Unterstützung für den umstrittenen Präsidenten, sondern seines IPhone Passworts wegen.

Bei dem Vorgang ein Konzept eines Flugzeuges, das von Apple designt werden soll und zudem die Airforce One ersetzen soll, vorzustellen, hat Kanye West auch versehentlich sein IPhone Passwort enthüllt. Dieses lautet “000000“, was Dieben die Arbeit das Mobiltelefon zu knacken um einiges erleichtert. Des Weiteren ist anzumerken, dass bei der Wahl eines solch schwachen Passworts ein Popup erscheint, das den Nutzer davor warnt, leicht erratbare Passwörter zu nutzen. Außerdem besitzen die Modelle X und Xs das Face ID Feature, das den Besitzer des IPhones erlaubt, das Gerät mit einem Blick auf das Handy zu entsperren. Ob man ein Fan vom Face ID ist, ist zweitrangig, es ist auf jeden Fall sicherer als Passwörter zu benutzen, die man ohne viel Mühe erraten kann.

Kurze nach seinem Besuch im Weißen Haus wurde West in einem Apple Store gesichtet. Das Internet hat sich bereits das Recht genommen, um sich über Kanye West lustig zu machen. „How do I change my password?“ lautet eine Caption in einem Instagram-Post, der West im Apple Store zeigt.

Unsere Schnell-Tipps für ein sicheres Passwort

  • Nutzen Sie keine leicht erratbare Passwörter wie “000000“ oder “123456“.
  • Nutzen Sie statt Pins Kennwörter. Auch hier sollten die Kennwörter nicht zu einfach sein.
  • Nutzen Sie Features wie die Face ID
500 Euro Hardware ermöglicht Aufschließen und Start des Tesla S

Ein Forscherteam der KU Leuven in Belgien haben das unsichere Krypto-System der Autoschlüssel des Tesla S aufgedeckt. Hierbei geht es um Schlüssel mit passivem Funkschließsystem, Angreifer können dessen Keyfob jedoch ohne viel Aufwand kopieren. Pektron, der Zulieferer der Schlüssel, verwendet die veraltete Chiffriermethode DST40, die bereits 2005 geknackt wurde. Größtenteils liegt dies an den verwendeten Schlüssel, die zu kurz sind. Außerdem auf einen gemeinsamen geheimen Schlüssel von 40 Bit mit einer gekürzten Response mit 24 Bit auf eine Challenge von 40 Bit geantwortet. Dies ermöglicht einen Time-Memory-Tradeoff. Die Forscher sammelten auf einer Festplatte alle möglichen Schlüssel, welche schließlich 5,4 TB einnahmen.

Die Entschlüsselung dauert keine 2 Sekunden

Zur Entschlüsselung nutzten die Forscher ein Raspberry Pi 3 B+ und weitere Hardware inklusive Funktechnik, insgesamt kostete dies die Forscher ca. 500 Euro. Weiterhin ist zu erwähnen, dass die ganze Entschlüsselung keine 2 Sekunden in Anspruch nimmt. Ein weiterer Grund für die Leichtigkeit des Hacks ist, dass das Auto in bestimmten Perioden seine Kennung öffentlich sendet, daraufhin reagiert der Autoschlüssel mit der passenden Kennung. Als Nächstes sendet das Auto eine Challenge, die vom Keyfob beantwortet wird. Dies hat zur Folge, dass Hacker sich mühelos in den Prozess einschalten können.

Wie genau der Hack abläuft, können Sie hier nachlesen eine Demonstration durch ein Video der Forscher können Sie hier sehen.

Tesla reagiert – ausreichend?

Tesla hat bereits reagiert und benutzt seit Bekanntmachung des Problems eine neue Generation von Keyless-Systemen. Besitzer mit dem Pektron-System können auf das neue System aufrüsten. Kosten hierfür wurden allerdings nicht genannt. Alternativ kann man die kostenlose „Pin to Drive“ aktivieren, welche vor Start des Motors einen Pin verlangt. Die einzige wirkungsvolle Maßnahme ist auf veraltete Chiffriermethoden zu verzichten und aktuelle sicherere Schließsysteme, die weniger anfällig für Relay-Attacken sind, zu nutzen. Anderer Hersteller, die von diesem Problem betroffen sind, weil sie ebenfalls von Pektron beliefert worden sind, reagieren weniger verantwortungsvoll. So behauptet McLaren, dass noch keins ihrer Autos von einer Relay-Attacke betroffen war, Kunden sollen jedoch kostenfrei signaldichte Säckchen für den Autoschlüssel erhalten.

Zusammenfassend ist zu sagen, dass Cyber Security nicht zu vernachlässigen ist und schon kleinste Fehler wie ein zu schwaches Passwort oder eine veraltete Chiffriermethode weitreichende Folgen haben können. Vorsicht ist besser als Nachsicht!

Dieser Beitrag wurde anlässlich des Cyber Security Month, der auf das Thema digitale Sicherheit aufmerksam machen möchte, verfasst.
Mehr Informationen zu Cyber Security finden Sie auf unserer Service Seite zu Digital Cyber & Information Security.