Nissan Leaf hacken dank Uralt-Bug aus dem iPhone
Hacker entdeckten, dass eine zentrale Komponente der Bordelektronik des Elektroautos Nissan Leaf einen Baseband-Chip verwendet, der sich schon im allerersten iPhone fand und anfällig ist für iPhone-Exploits aus dem Jahr 2010.
Die aus einem schrottreifen Nissan Leaf ausgebauten Teile dienten den Hackern im Labor als Übungsplattform.
(Bild: Michael, Shkatov, Bazahaniuk)
- Uli Ries
Die Hacker Jesse Michael, Mickey Shkatov und Oleksander Bazahaniuk suchten nach lohnenswerten Hackingzielen und entschieden sich für vernetzte Autos – ohne jegliche Erfahrung in diesem Umfeld, wie sie während ihrer Präsentation im Rahmen der Hacker-Konferenz Def Con erzählten. Sie bauten das Armaturenbrett und sämtliche noch vorhandene Bordelektronik aus einem schrottreifen Nissan Leaf aus und machten sich auf die Suche nach Einstiegsstellen.
Fündig wurden sie unter anderem in der vom deutschen Zulieferer Continental gebauten Telematikeinheit des Auto. Sie verbindet das Fahrzeug mit einem Internetdienst von Nissan, im Fall des Schrottwagens per GPRS, und ist nach innen mit einem Teil des CAN (Controller Area Network)-Busses verbunden. Der für diese Verbindung zuständige Chip stammt von Freescale, so dass die Hacker mittels eines per USB an einen Rechner und mit Drähten an den Prozessor angeschlossenen Debuggers die Kommunikation des Chips mitschneiden konnten. In der Aufzeichnung der AT-Kommandos fanden sich Hinweise auf den Baseband-Prozessor des Modems: ein Infineon PMB 8876 – und damit der gleiche Chip, den Apple in der aller ersten Generation des iPhones verbaute.
Angriff aus der Luft
Ein erster Test zeigte schnell, dass der Chip anfällig ist für die seinerzeit entwickelten Exploits wie AT+STKPROF oder AT+XAPP. Die Exploits waren damals Grundlage für die jeweiligen Jailbkreaks der iPhones. Und auch vom TMSI-Buffer-Overflow (PDF) ist das System betroffen, wie ein Test mit dem Software Defined Radio BladeRF belegt. Durch Missbrauch dieser Schwachstelle ließe sich ein Angriff auch über das Mobilfunknetzwerk ausführen – eine Kabelverbindung beziehungsweise physische Nähe zum jeweiligen Fahrzeug wäre nicht mehr nötig.
Um einen funktionierenden Exploit zum Ausführen von beliebigem Code aus der Ferne (Remote Code Execution) zu entwickeln, mussten die drei Hacker die Firmware der Telematikeinheit auslesen. Das gelang mit Hilfe eines Pufferüberlaufs, der den Forschern pro Schritt 512 Bytes der Firmware auslieferte. Nach mehr als fünf Tagen lagen dann alle Teile der Firmware zur Analyse bereit. Und auch in dieser Software fanden sich Schwachstellen. Sie könnten letztendlich dazu missbraucht werden, Zugriff auf den Teil des CAN-Busses zu bekommen, der Fahrzeugfunktionen wie bremsen, lenken oder beschleunigen steuert.
Die Hacker machten mit ihren Untersuchungen an dieser Stelle zwar Schluss, zeigten sich auf Nachfrage aber optimistisch, dass dieser Brückenschlag möglich sei. Massenhafte Angriffe sind jedoch nicht möglich, obwohl das verwundbare Modem offenbar auch in Fahrzeugen von Ford und BMW verbaut wurde. Denn letztendlich müsse den Hackern zufolge pro Fahrzeugmodell ein eigener Exploit entwickelt werden.
Als Reaktion auf die entdeckten Schwachstellen gab das amerikanische ICS-CERT eine Warnung heraus. Ob die Automobilhersteller beziehungsweise Continental mit Updates reagieren, ist derzeit noch unklar. (axv)
