Der Besitzer eines Hyundai Ioniq SEL Baujahr 2021 will die Software seines Auto modifizieren und deckt dabei einen heftigen Krypto-Fail auf.
In einem Bericht schreibt der PKW-Besitzer, dass er zuerst die Firmware von der offiziellen Hyundai-Website analysiert hat. Eigenen Angaben zufolge konnte er den Passwortschutz des Zip-Archivs ohne große Probleme umgehen und fand darin unter anderem einen Public Key (AES symmetrisch CBC) und weitere Komponenten zum Verschlüsseln der Firmware.
Schlüssel-Suche leichtgemacht
Nun fehlte im noch der private Schlüssel, um einige Daten zu signieren, damit das Auto das Firmware-Image akzeptiert und installiert. Mit den Infos des Public Keys ausgestattet, startete er eine Internetsuche und stieß ziemlich schnell auf den privaten Schlüssel. Dabei handelt es sich um einen Beispiel-Schlüssel aus Online-Tutorials zum Thema Verschlüsselung. Unter anderem taucht er in einem NIST-Dokument auf (SP800-38A PDF).
Damit ausgerüstet konnte er die Firmware modifizieren, signieren, verschlüssen und im Anschluss installieren. Ob Hyundai mittlerweile Gegenmaßnahmen eingeleitet hat, ist bislang nicht bekannt.
(des)
