Skip to main content

Note:
This paper was originally submitted as coursework. All personal information has been redacted for privacy.
For educational purposes only.

Rolling-PWN – Angriff auf Keyless-Zugangssysteme

  • Author: skull

Schlagworte: Rolling Code, Keyless Entry, Rolling-PWN, Funkschlüssel, CAN-Bus, Replay-Angriff

Abstract

In dieser Arbeit wird der Rolling-PWN-Angriff auf moderne Keyless-Zugangssysteme von Fahrzeugen analysiert und systematisiert. Es werden die technischen Grundlagen erläutert, der Angriffsablauf detailliert beschrieben sowie mögliche Schutzmaßnahmen diskutiert.

1. Einleitung

Durch den zunehmenden Einsatz von Keyless-Zugangssystemen bei modernen Fahrzeugen hat sich das Angriffsfeld für Cyberkriminelle deutlich erweitert. Insbesondere sogenannte Replay- und Rolling-Code-Angriffe stellen ein ernstzunehmendes Sicherheitsrisiko dar.
Der Fokus dieser Arbeit liegt auf dem Rolling-PWN-Angriff, einem aktuellen Angriffsszenario, das in der Praxis für Schlagzeilen sorgte. Ziel ist es, das Angriffsmuster technisch zu analysieren, nachvollziehbar zu dokumentieren und dessen Auswirkungen kritisch zu diskutieren.

2. Technische Grundlagen

2.1 Keyless-Zugangssysteme

Keyless-Zugangssysteme erlauben es, ein Fahrzeug zu öffnen und zu starten, ohne den Schlüssel aktiv zu benutzen.
Die Kommunikation erfolgt typischerweise über Funkprotokolle und ist in der Regel verschlüsselt.

2.2 Rolling Codes

Zur Verhinderung von Replay-Angriffen werden Rolling Codes eingesetzt. Nach jedem erfolgreichen Öffnen/Schließen des Fahrzeugs wird ein neuer, pseudozufälliger Code generiert.
Dadurch ist jeder Öffnungscode nur einmal gültig.

3. Rolling-PWN-Angriff

3.1 Angriffsablauf

Der Rolling-PWN-Angriff nutzt Schwächen in der Implementierung des Rolling-Code-Mechanismus aus.
Ein Angreifer kann Funksignale aufzeichnen, zurückspielen und auf diese Weise ein Fahrzeug öffnen – ohne den echten Schlüssel zu besitzen.

Abbildung 1: Prinzip des Rolling-Code-Verfahrens

Der Ablauf gliedert sich in folgende Schritte:

  1. Signalaufzeichnung: Das Funksignal des legitimen Schlüssels wird beim Öffnen des Fahrzeugs mitgeschnitten.
  2. Analyse: Der aufgezeichnete Code wird analysiert.
  3. Replay: Der Angreifer spielt den Code zu einem späteren Zeitpunkt erneut ab, um das Fahrzeug zu öffnen.

Abbildung 2: Signalaufzeichnung beim Rolling-PWN

3.2 Schwachstellenanalyse

Rolling-PWN funktioniert, wenn das Steuergerät (BCM/ECU) nach dem Empfang eines gültigen Codes nicht ausreichend prüft, ob der empfangene Code wirklich der "nächste" im Rolling-Code-Zyklus ist.
So können durch gezieltes Replay mehrere Codes "vorgespult" werden.

Abbildung 3: Schwachstellen im Rolling-Code-Protokoll

4. Experimenteller Nachbau

Zur Veranschaulichung wurde ein Rolling-Code-Sniffer und ein SDR (Software Defined Radio) verwendet, um die Funksignale zu analysieren und zu replizieren.

4.1 Versuchsaufbau

Abbildung 4: SDR-Setup zum Sniffen von Keyless-Signalen

Für das Experiment wurde ein einfacher Funkschlüssel (433 MHz) als Ziel verwendet.

4.2 Ergebnisse

Die aufgezeichneten Funksignale wurden erfolgreich mit einem SDR dekodiert und ein Replay-Angriff durchgeführt.

Abbildung 5: Mitschnitt und Decodierung eines Rolling-Codes

Das Fahrzeug konnte durch das Zurückspielen des Codes geöffnet werden.

Abbildung 6: Replay-Angriff mit SDR

5. Bewertung und Diskussion

5.1 Reichweite und Aufwand

Für Rolling-PWN ist kein physischer Zugang zum Fahrzeug notwendig.
Die technische Hürde ist durch günstige SDRs und frei verfügbare Software gering.

Abbildung 7: Kommerzielle Geräte für Rolling-PWN-Angriffe

5.2 Folgen

Der Angriff ermöglicht unbefugtes Öffnen und ggf. Starten des Fahrzeugs.
Im Gegensatz zu herkömmlichen Replay-Angriffen ist der Rolling-Code-Mechanismus – sofern falsch implementiert – hier keine wirksame Schutzmaßnahme.

6. Schutzmaßnahmen

Empfohlene Schutzmaßnahmen umfassen:

  • Verwendung von stärkeren kryptografischen Algorithmen (echtes Challenge-Response)
  • Begrenzung des "Code-Fensters" bei Rolling-Codes
  • Regelmäßige Firmware-Updates durch den Hersteller

Abbildung 8: Übersicht Schutzmaßnahmen und Secure Rolling Codes

Hersteller sollten die Implementierungen regelmäßig auf Sicherheitslücken prüfen.

7. Fazit

Der Rolling-PWN-Angriff demonstriert, wie entscheidend die korrekte Implementierung selbst bewährter Sicherheitsmechanismen ist.
Nur durch kontinuierliche Überprüfung, Penetrationstests und das Schließen von Schwachstellen kann ein ausreichendes Schutzniveau gewährleistet werden.

Abbildung 9: Zusammenfassung Rolling-PWN

8. Literaturverzeichnis

  1. Original Rolling-PWN Whitepaper
  2. Heise: Rolling-PWN – Neue Angriffsmethode auf Funkschlüssel
  3. Wikipedia: Keyless Go
  4. Wikipedia: Rolling Code
  5. Practical Attacks against Rolling Code Car Key Systems
  6. SDR Grundlagen
  7. CAN-Bus Security
  8. NDR: Autoschlüssel-Hack

For feedback or questions, contact the author. No personal author details are published for privacy reasons.