Wie „MacGyver“

Bluetooth-Schloss mit Chipsdosen-Antenne geknackt

(Bild: sit.fraunhofer.de, Tapplock, Krone KREATIV)

Eine selbstgebastelte Richtfunkantenne aus Kartoffelchipsdosen und zwei handelsübliche Mini-Computer genügen, um Bluetooth-Schlösser des US-Herstellers Tapplock in Sekunden zu knacken. Das haben Forschende des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt jetzt bewiesen. Der Hersteller wurde über die Schwachstellen informiert und hat diese bei einem seiner Modelle inzwischen behoben.

Umständliches Kramen nach dem Fahrradschloss- oder Spind-Schlüssel ist mit einem modernen Bluetooth-Schloss nicht mehr nötig: Man verschließt das Schloss einfach per Fingerabdruck oder über eine App auf dem Smartphone, das über Bluetooth Low Energy (BLE) mit dem Schloss verbunden ist. Doch auch diese Schlösser können geknackt werden, wie eine Gruppe von Forschenden des Fraunhofer SIT jetzt herausgefunden hat.

Sie untersuchten zwei Bluetooth-Schlösser des Herstellers Tapplock, nämlich das „Tapplock ONE“ sowie das „Tapplock ONE+“, und fanden bei beiden Modellen zwei gravierende Sicherheitslücken. Diese ermöglichten Angriffe, mit denen sich die Sicherheitsmechanismen der Schlösser komplett aushebeln ließen, ohne dass Einbruchsspuren hinterlassen würden, so das Institut in einer Mitteilung.

Beide Angriffe lassen sich demnach mit geringen technischen und finanziellen Mitteln umsetzen. Genutzt wurde hierfür ein Angriffswerkzeug, welches die Gruppe unter anderem aus Kartoffelchipsdosen und handelsüblichen Mini-Computern (Raspberry Pi) selbst gebaut hatte.

Angriff mit Richtfunkantenne aus Chipsdosen
Das erste Angriffsszenario nutzt eine sogenannte Man-in-the-Middle-Attacke, bei der sich der Angreifer in die Bluetooth-Verbindung schaltet, die zwischen Schloss und Smartphone des Angriffsopfers aufgebaut wird, während dieses das Schloss abschließt. Somit laufen laut SIT auch die Daten, die normalerweise direkt zwischen Schloss und Smartphone ausgetauscht werden, über den Angreifer. Habe sich der Besitzer entfernt, erhalte der Angreifer die Verbindung zum Schloss aufrecht und sende einfach die gerade gesendeten Kommunikationsdaten, die zum Öffnen und Schließen des Schlosses notwendig sind, nochmal zum Schloss. Dieses öffne sich, und der Angreifer habe sein Ziel erreicht.

Replay-Angriff knackt das Schloss in unter einer Minute
Die zweite gefundene Schwachstelle lässt sich den Forschenden zufolge über einen sogenannten Replay-Angriff ausnutzen. Dazu müsse lediglich der Schließvorgang einmal mitgeschnitten werden, beispielsweise mit dem selbstgebastelten Angriffswerkzeug. Der Angreifer brauche dabei keine ständige Verbindung mehr zum Schloss, sondern müsse lediglich warten, bis er freien Zugang zum Schloss habe, um dann beliebig viele Abfragen auf das Schloss zu starten. Dies sei möglich, weil das Schloss keine Blockade oder Verzögerung auch bei vielen Abfragen eingebaut habe, so die Forschenden.

Die Schwachstellen wurden dem Hersteller Tapplock gemeldet. Dieser habe die Sicherheitslücken beim Modell „Tapplock One+“ geschlossen, das Modell „Tapplock One“ hingegen habe kein Update erhalten, hieß es.