Umständliches Kramen nach dem Fahrradschloss- oder Spind-Schlüssel ist mit einem modernen Bluetooth-Schloss nicht mehr nötig: Das Schloss wird einfach per Fingerabdruck oder über eine App auf dem Smartphone verschlossen. Das Smartphone ist hierbei über Bluetooth Low Energy mit dem Schloss verbunden ist.
Doch auch diese Schlösser können geknackt werden, wie eine Gruppe von Wissenschaftlern des Fraunhofer-Instituts für Sichere Informationstechnologie SIT jetzt herausgefunden hat. Sie haben zwei Bluetooth-Schlösser des Herstellers Tapplock untersucht, nämlich Tapplock One sowie Tapplock One+, und bei beiden Modellen zwei Sicherheitslücken gefunden. Diese ermöglichen es, die Sicherheitsmechanismen der Schlösser ohne Einbruchsspuren komplett auszuhebeln.
Angriff aus der Chipsdose
Beide Angriffe lassen sich mit geringen technischen und finanziellen Mitteln umsetzen. Hierfür nutzten die Forscher ein Angriffswerkzeug, dass sie unter anderem aus Kartoffelchipsdosen und handelsüblichen Mini-Computern (Raspberry Pi) selbst gebaut hatte.
Das erste Angriffsszenario nutzt eine Man-in-the-Middle-Attacke: Hier schaltet sich der Angreifer in die Bluetooth-Verbindung, die zwischen Schloss und Smartphone des Angriffsopfers aufgebaut wird, während er sein Schloss abschließt. Somit laufen auch die Daten, die normalerweise direkt zwischen Schloss und Smartphone ausgetauscht werden, über den Angreifer.
Hat sich der Besitzer entfernt, erhält der Eindringling die Verbindung zum Schloss aufrecht und sendet die gerade gesendeten Kommunikationsdaten, die zum Öffnen und Schließen des Schlosses notwendig sind, noch mal zum Schloss. Dieses öffnet sich, und der Angreifer hat sein Ziel erreicht.
Geknackt in unter einer Minute
Die zweite gefundene Schwachstelle lässt sich über einen sogenannten Replay-Angriff ausnutzen. Dazu muss lediglich der Schließvorgang, bei dem ein Challenge-Response-Verfahren eingesetzt wird, einmal mitgeschnitten werden, beispielsweise mit dem selbstgebastelten Angriffswerkzeug. Diesmal braucht der Angreifer keine ständige Verbindung mehr zum Schloss, sondern wartet lediglich, bis er freien Zugang hat und startet dann beliebig viele Abfragen auf das Schloss.
Dies ist möglich, weil das Schloss keine Blockade oder Verzögerung auch bei vielen Abfragen eingebaut hatte. Es dauert ungefähr 30 bis 60 Sekunden, bis sich die zuvor aufgezeichnete Challenge wiederholt. Mit der aufgezeichneten Response ist es nun möglich, das Schloss beliebig oft zu öffnen, ohne dass der rechtmäßige Besitzer dies merkt.
Die Wissenschaftler des Fraunhofer SIT haben die Schwachstellen im Rahmen des Responsible-Disclosure-Prozesses dem Hersteller Tapplock gemeldet, welcher die Sicherheitslücken beim Modell Tapplock One+ bereits geschlossen hat. Das Modell Tapplock One hingegen hat noch kein Update erhalten.