30C3: Auto-Freisprechanlage als Universalcomputer

Der Tüftler Felix Domke hat aus einer über Bluetooth steuerbaren Freisprech- und Telefonanlage fürs Auto einen programmierbaren Rechner mit Internetzugang gemacht, mit dem man etwa aus der Ferne zuhause das Licht einschalten, elektronische Parktickets kaufen oder gezielt die Wetter- oder Verkehrsvorhersage abrufen könne. Die Funktionsfähigkeit des Geräts führte der Hacker am Samstag erstmals auf dem 30. Chaos Communication Congress (30C3) in Hamburg einer größeren Öffentlichkeit vor.

Domke, der unter anderem bereits an Hacks von Spielekonsolen beteiligt war, hatte eine HT-4-Einrichtung der Düsseldorfer Firma novero ins Visier genommen. Dieser Mini-Computer spielt im normalen Betrieb mit einer Multifunktionsanzeige im Armaturenbrett zusammen und wird hauptsächlich in Volkswagen-Modellen eingesetzt. Er hat Funktionen etwa zur Spracherkennung, die einen vergleichsweise starken Prozessor erfordert, zum Abspielen von Musik sowie Kommunikationsmöglichkeiten über WLAN oder UMTS. Für seine Experimente hat sich Domke bei eBay das Bluetooth-Kit HT-5 gekauft, das mit der Vorgängerversion weitgehend kompatibel sei.

Innenleben

Beim Freilegen der Innereien stieß Domke nach eigenen Angaben unter anderem auf einen 1-GHz-Marvell-Prozessor mit Kommunikationsfunktionen, wie er in ähnlicher Form in "einigen günstigen Android-Tablets" eingebaut sei. In der Nähe befinde sich ein S12X-Mikrokontroller von Freescale. Dazu kämen diverse Speicher, Schnittstellen, Antennen und ein Steckplatz für eine Micro-SD-Karte.

Der Tüftler probierte kurzerhand aus, ob das Gerät bei geeigneter Stromzufuhr hochfahren würde und sich eine UART-Schnittstelle zur asynchronen seriellen Datenübertragung finden lasse. Wie er vor Ort in einer Demo unter Zuhilfenahme eines gewöhnlichen Windows-Notebooks zeigte, nimmt das Gerät dabei aber nur kurzfristig rund 50 Milliampere auf und reagiert sonst nicht weiter.

Domke lenkte seine Aufmerksamkeit daher auf das im Auto meistgenutzte, aber in die Jahre gekommene und keine große Sicherheit mehr bietende Bus-System CAN (Controller Area Network). Mit einem einschlägigen Adapter gelang es ihm, entsprechenden Datenverkehr im VW aufzuzeichnen, entscheidende Nachrichten zum Emulieren eines S-Kontakts ("Klemme 15") zu isolieren und auf seine Versuchsanlage zu spielen. Damit wurde dem HT-5 suggeriert, es sei an die Stromversorgung des Autos angeschlossen. Tatsächlich lässt sich damit der Bootvorgang auslösen, was der Hacker vorführte. Dabei stellte sich heraus, dass auf dem Gerät der Bootloader U-Boot läuft.

Das U-Boot

Fragen über die rechtmäßige Nutzung der Software ohne Verweis auf die GPL und zu Möglichkeiten zum Beziehen des Quellcodes stellte Domke hintenan, während er den Speicher der Anlage über den seriellen Port auszulesen begann. Er kam schließlich einem Bedien- und Anzeigenprotokoll (BAP) zur Ausgabe von Inhalten auf dem zugehörigen Display im Auto sowie einer Kontrolleinheitsnummer auf die Spur. Über den CAN-Adapter gelangte er ins Menü.

Schließlich zeichnete der Experte den Nachrichtenfluss in einem Diagramm nach und machte besonders häufig genutzte Bus-Systeme aus. CAN-Botschaften blieben ihm zufolge dabei auf relativ abstraktem Niveau. Auslesbar seien etwa Reaktionen auf Tasteneingaben, veränderte Bildschirmdarstellungen oder GPS-Standortdaten. Letztlich sei es nicht sonderlich schwer gewesen, den Datenfluss mit einem Python-Skript abzufangen und das System weitgehend zu kontrollieren. Auch diese finalen Schritte demonstrierte Domke live.

Das "Kapern" der Anlage funktioniert laut dem Hacker auch im Auto. "Man sollte das aber nicht beim Fahren ausprobieren", warnte Domke. Wirklich Gefährliches könne zwar nicht passieren, da die Einrichtung keine zentralen Sicherheitsfunktionen für den Wagen erfülle. Es sei ausgeschlossen, dass etwa der Motor stoppe oder die Airbags losgingen, wie es in Internetforen nach anderen Eingriffe in die Bordelektronik beschrieben werde. Ein Übeltäter könne mit dem Hack aber etwa das Mikrofon der Freisprechanlage aktivieren und zur Überwachung nutzen. Für Domke überwiegen die positiven Anwendungsmöglichkeiten, da man mit dem Ansatz einen eigenen, mehr oder weniger frei nutzbaren PC im Wagen habe. Einzelheiten zu seinem Vorgehen und nutzbaren Code will er demnächst auf seiner GitHub-Seite veröffentlichen. (vbr)