Triumph Keyless System unsicher per Design

[merkosh]

Bitte beachten:

Es geht hier NICHT um das bekannte Verfahren mit der Verlängerung der Funksignale !!!

 

Aus gegebenem Anlass:

 

https://www.heise.de/security/meldung/Schluessel-Hack-Autos-von-Tesla-lassen-sich-in-Sekunden-oeffnen-4161136.html

 

Anscheinend hat Triumph (wie auch Tesla, McLaren und Karma) ein schon seit langem bekanntes und geknacktes Verschlüsselungsverfahren in seinem Keyless-Go System der Fa. Pektron verwendet bzw. eingekauft, das einmalige abhören EINER EINZIGEN Übertragung von Schlüssel zu Motorrad langt wohl um mit sehr günstiger Hardware, Mobil und innerhalb von 2 Sekunden (!) die nächsten (im voraus berechneten) Schlüssel heraus zu finden und hiermit einen Klon zu programmieren.

 

Blöd ist es wenn ein Hersteller (wie Tesla) das System kauft und später sich irgendwann heraus stellt das ein solches System unsicher ist ... dämlich ist es aber wenn man ein seit längerer Zeit als unsicher bekanntes System in sein neuestes Modell einbaut (wie Triumph)

 

Meiner Meinung nach wird Tesla das Problem relativ schnell mittels Software Update beheben (bzw. hat mit der PIN schon eine vorläufige Lösung Over-the-air verteilt), andere Auto Hersteller und erst recht Motorrad Hersteller wie Triumph tun sich da weitaus schwerer solche Lücken zu schließen wie man ja aus der Vergangenheit weis ... falls überhaupt jemals ...

 

bearbeitet September 11, 2018 von merkosh

[Silver Rider]

Also doch ein massives Vorhängeschloss auch bei kurzem Abstellen für manche Triumph Motorrader

 

So langsam beist sich die Katze in den Schwanz

 

 

[JLine]

Zu Tode gefürchtet ist auch gestorben. 

 

Wer sich den Aufwand für das Entschlüsseln zulegt, wird wohl eher einen Tesla als eine Triumph klauen.

Motorradfahren muss der Dieb ja auch noch können.

 

Den Schlüssel der Triumph kann man übrigens meines Wissen per Knopfdruck deaktivieren, das sollte glaube ich auch helfen.

 

Grüße

Jürgen

[srk]

Ne, das Deaktivieren hilft eben nicht. Das Signal wurde ja zuvor abgegriffen und der neue Key schon berechnet. Das ist ja das Problem...

 

Ach, die wenigsten Motorraddiebe können dieses auch so fahren wie wir. Es wird bandenmäßig gediebt. Vier Mann und ein Transporter reichen.

 

Ich würde eher die Triumph stehlen. Ist unaufälliger. Hinten rein in den Bulli und ab nach Kasachgisien.

[JLine]

Ob die in Kasachgisien eine 1200er Tiger brauchen? 

Wann wurde das Signal abgegriffen? Wenn ich mit 100 km/h vorbeifahre?

[silberlocke]

Früher hatte man u.a.vor allem die Sorge um das erhöhte Unfall Risiko.

Jezt zusätzlich die Sorge dass die Elektronik versagt wenn sie mit dem Rest was noch dran ist nicht schon vorher geklaut wird.

 

Früher wurde mechanisch geknackt - heute elektronisch per Funksignal. Wo ist das Problem, fragt sich der fortschrittliche Gauner. 

 

Man könnte aber per Handy daheim im Sessel die aktuelle Entfernung verfolgen. So ist das Spiel wenigstens nicht Realitätsfremd.

 

[enduro_drive]

In der FAZ wird über das Thema ebenfalls berichtet, allerdings ohne namentliche Nennung von Triumph:

 

http://www.faz.net/aktuell/wirtschaft/diginomics/hacker-konnten-tesla-model-s-in-sekunden-knacken-15782260.html

 

Meine Meinung zu dem Thema: eine auf Funk basierende Schlüssellösung ist immer angreifbar. Muss ich je Startvorgang einen Pin eingeben mache ich den Vorteil der Keyless Systeme zunichte und bin mit einem klassischen Schlüssel bequemer und schneller unterwegs.

 

Letztendlich wird die böse Seite sich neuen Sicherheitsstandards immer wieder anpassen. 

 

Und egal mechanische oder funkgesteuerte Systeme, jedes kann geknackt werden. 

 

 

[xabbus]

Deswegen versuche ich mein Moped auf Touren immer im Blick zu haben, ob mit Schlüssel oder ohne

und für die Nacht suche ich immer einen sicheren Abstellort. 

Hat jetzt 42 Jahre gut funktioniert, hoffe das geht so weiter.

 

Servus

da Peda

[Wolfylein]

wenn einer das Moped klauen will, dann klaut er es auch, ob mit Keyless oder ohne.

 

 

[Silver Rider]

vor 3 Stunden schrieb Wolfylein:

wenn einer das Moped klauen will, dann klaut er es auch, ob mit Keyless oder ohne.

 

 

 

Das iss jetzt nix neues, das war schon immer so und wird auch so bleiben.

Nur stellt sich halt langsam heraus, dass die Bequemlichkeit  mit Keyless auch ihre Tücken im Betrieb hat .

Wenn ich mir den obigen Link so durchlese - leckomio ich bin doch kein ID Fuzzi Im Falle von Teslar - bei Triumph kommt es vielleicht auch noch - extra noch eine PIN eingeben. dann ist der Vorteil der Bequemlichkeit entgültig dahin.

 

....... und ich sage: weniger, also ein herkömmliches bewährtes einfaches Schlüssel System ist wirklich mehr - für mich wenigstens.

 

Auch privat will ich ums verrecken nicht ein Netzwerk um mich herrum augebaut haben ... welches jederzeit angreifbar ist und vom Fehlerteufel ganz zu schweigen  Nur um mir keine Gedanken mehr machen zu müssen, bzw. kleine Handgriffe zu ersparen. Manche werden sich diesbezüglich in Zukunft noch wundern.

 

 

Grüße gerhard

[JLine]

Vorteil bei Triumph:

Tanken kann der Dieb trotzdem nicht. 

[hugoc5]

Am 12.9.2018 at 19:55 schrieb JLine:

Vorteil bei Triumph:

Tanken kann der Dieb trotzdem nicht. 

Und das stört mich fast selbst am meisten - immer erstmal den Schlüssel aus irgend einer Tasche kramen ?

[JLine]

Stimmt, mich auch, war aber auch ironisch gemeint. 

[silberlocke]

Irgendwas muss mann ja trotz dem einstecken.

Meinen  Hausschlüssel muss ich ja auch....

Dann meine ich immer ich hab den Fahrzeugdingens auch in der Hosentasche. 

 

Bei dem Fahrzeug das Keyless hat habe ich pers. das Problem dass ich hinten ständig den Schlüssel im Bordcase stecken lasse weil das Fahrzeuge ja auch ohne fährt.

Bei meiner alten Ex passiert mir das seltener 

[Angkor]

Hallo zusammen

als stolzer Besitzer einer XCA kann ich Euch versichern, dass ich tiefen Entspannt bin. In dem Artikel schreiben sie, dass mann/frau innert Sekunden den Code geknackt hat. Wenn denn das Raspi etc.. plus Datenbank zur Verfügung steht. Ich habe mal versucht die DB in spezielle Foren zu suchen. Fehlanzeige! Dann habe ich mir den Artikel mal angeschaut wie denn die Keys generiert werden müssen für die DB. Ist nicht ganz ohne. Ich denke wenn jemand sich die Mühe macht die Geschicht aufzubauen klaut er das Moped so oder so. 

Die ganze Geschichte ist nicht so einfach wie es lapidar beschrieben wurde. 

[merkosh]

Das Problem wird sein das hier ein Chip genutzt wird der nicht nur von Triumph verbaut wurde sondern auch in hochpreisigen Autos. Da sich für andere die Autos eher lohnen wird es ganz sicher schon eine DB geben. Sollte es jemand auf unsere Tiger abgesehen haben muss er sich selbst die Arbeit gar nicht antun. 

 

Die einfache Technik der Funk-Verlängerung wurde auch erst öffentlich als diese schon lange im Einsatz war und bis heute noch ist. 

 

Viel schlimmer ist doch das die Hersteller es bis heute nicht einsehen bzw. hin bekommen aktuelle Technik zu verbauen anstatt seit Jahren bekannt unsicherer. 

 

Ich habe mal einen Bericht über einen Fan eines bestimmten Audi (?) Modells gesehen dem mehrfach das Auto gestohlen wurde und immer er musste der Versicherung nachweisen dass er alles richtig gemacht hat. Erst als er dann auf eigene Kosten eine Alarmanlage mit GeoFence, Kamera Überwachung des Parkplatzes und Bewegungsmelder installierte war Ruhe... zumindest zu Hause bis zum Zeitpunkt des Berichtes. 

 

Aber des Gleichen verweigern sich die Hersteller ja auch bei dem Thema Tachostände sowohl im Fahrzeug als auch einer zentralen Datenbank und so weiter. Die Versicherungen preisen das mittlerweile einfach in ihre Tarife für diese Fahrzeuge ein, der Aufwand, die Probleme und Beweislast liegen ja erst mal bei uns... 

[udo_muc]

Hallo,

das Thema ist leider nicht ganz so einfach. Die Welt der Security dreht sich doch um einiges schneller als der normale Fahrzeugzyklus. Man hat quasi bei Markteinführung alte Technik. Beim Handy oder PC fällt das nicht so auf, weil die eh nach drei Jahren in die Tonne gehen. Aber ein Auto muss 15 Jahre oder länger geschützt werden. 

Die grossen Automobilhersteller arbeiten gerade mit Hochdruck an einer ganzheitlichen Lösung. Alleine die neuen Features wie Software over the Air erfordern das. 

 

Gruss,

Udo

 

 

[kleener]

Ich kenne die Problematik von einem englischen Fahrzeughersteller im Premiumsegment.

Dort war nicht dass abgreifen von Codes das Problem an sich, es gestaltete sich anscheinend viel einfacher einen Schlüssel "einfach" neu anzulernen.

Es war also nur der Weg an den OBD-Stecker interessant und die Klientel dabei sehr einfallsreich.

Letztendlich wurden die Steuerteile zur Neuprogrammierung gesperrt und damit das Diebstahlproblem gelöst.

Nachteil für den Kunden, bei Verlust eines Schlüssels musste das Steuerteil mit ersetzt werden, auch war ein nachträgliches Hinzufügen eines weiteren Schlüssels bei Bedarf nicht einfach möglich, nur mit neuem Steuerteil.

Aber ohne diese Maßnahme hätten die Versicherer keine weiteren Fahrzeuge mehr versichert.

[merkosh]

vor 11 Stunden schrieb udo_muc:

 Die Welt der Security dreht sich doch um einiges schneller als der normale Fahrzeugzyklus. Man hat quasi bei Markteinführung alte Technik.

 

tut mir leid aber die begründung stimmt hier so nur wenn du irgendwann nach der einführung des fahrzeuges feststellst dass die verwendete technik unsicher ist bzw. war. 

 

in diesem fall ist aber schon seit jahren bekannt das der zugrundeliegende algorythmus unsicher ist, die technik welche diesen verwendet sollte eigentlich schon lange gar nicht mehr verwendet bzw. für fahrzeughersteller angeboten werden. evtl. muss ich mich als hersteller auch mal kundig machen und nicht einfach von der stange kaufen. 

 

gleiches gilt für die tachomanipulation, es gibt schon seit jahrzehnten techniken mit denen u.a. chiphersteller ihre chips schützen. einfaches beispiel wäre dass der oder die speichernden chips den kilometerstand von der technik aus bzw. in hardware nur hochzählen können und eine änderung per software erst gar nicht möglich ist (stichwort z. b. auch e-fuse). 

 

und zentrale datenbanken beweisen sich in anderen ländern auch schon länger, der tachostand mit fahrzeugnummer wird einfach bei jeder gelegenheit verpflichtend erfasst (z. b. wartung oder tüv), es braucht auch keine weiteren personenbezogenen daten welche dann immer gerne als KO kriterium angeführt werden.

 

es gibt viele weiter lösungen, wenn man sie denn möchte... 

[2Tiger]

Jetzt sind gut zwei Jahre ins Land gegangen. Hat in dieser Zeit schon jemand seinen Tiger vermisst?

 

Gruß