CAN-Hack: Diebe klauen Autos über Netzwerkprotokoll ohne Schlüssel

Inhaltsverzeichnis

Autos mit der elektronischen Zugangs- und Fahrtberechtigungslösung Smart Key lassen sich mit einem Injection-Angriff auf den CAN-Bus (Controller Area Network) binnen weniger Minuten ohne eigenen Schlüssel starten und entwenden. Bei der Attacke werden in das serielle Datenbus-Netzwerk, das Steuergeräte vernetzt, über ein simples Eingabegerät wie einen manipulierten Bluetooth-Lautsprecher gefälschte Nachrichten über Endpunkte wie das Vorderlicht eingespeist. Diese Botschaften täuschen einen Smart Key und dessen Anweisungen vor, was den Diebstahl des angegriffenen Fahrzeugs ermöglicht.

"Epidemie von Hightech-Autodiebstählen"

Die entsprechende "Detektivgeschichte" mit technischen Details und einem Video, das Diebe bei einem einschlägigen Angriff am Werk und nach rund zwei Minuten am Wegfahren zeigt, hat Ken Tindell, Cheftechnologe bei der britischen Software- und IT-Sicherheitsfirma Canis Automotive Labs, in einem Blogbeitrag geschildert. Die detaillierte Untersuchung eines gestohlenen Autos und dessen CAN-Systems half ihm zufolge dabei, eine ganze "Epidemie von Hightech-Autodiebstählen" aufzudecken.

Der Fall begann damit, dass ein Freund von Tindell, der Londoner Cybersicherheitsforscher Ian Tabor, vor rund einem Jahr auf Twitter seinem Ärger über Schäden am vorderen Kotflügel und am Scheinwerfergehäuse an seinem Toyota RAV4 Luft machte. Drei Monate war Ruhe, doch dann meldete der Mitarbeiter Edag Group, einem Entwicklungspartner der Automobilindustrie, dass jemand die vordere Stoßstange und die Felge abgerissen und den Kabelstecker des Scheinwerfers entfernt hatte. Zwei Tage später war klar, dass es Tabor nicht mit Vandalen zu tun hatte, sondern mit professionellen Dieben: Der SUV war weg.

Kommunikation zwischen Komponenten versagt

Tabor wollte den Diebstahl nicht auf sich beruhen lassen und inspizierte die MyT-App von Toyota, mit der sich unter anderem die Datenprotokolle eines Fahrzeugs einsehen lassen. Diese legten offen, dass die Electronic Control Units (ECUs) in dem RAV4 vor der Tat Fehlfunktionen festgestellt hatten, die das System als Diagnostic Trouble Codes (DTCs) aufzeichnete. Tabor bat Tindell, der als CAN-Guru gilt, um Hilfe. Dieser registrierte schnell, dass das Fahrzeug gleich "eine Menge DTCs abgesetzt" hat.

Nicht nur die Kommunikation mit dem Steuergerät für die Lichtanlage war dem Bericht nach ausgefallen. Vielmehr betrafen die Fehlfunktionen demzufolge auch die Frontkameras und das Steuerungssystem des Hybridmotors. Tindell reimte sich so zusammen: Die ECUs selbst waren offenbar gar nicht ausgefallen, "sondern die Kommunikation mit ihnen war verloren gegangen". Die Diagnose habe dies als Fehler gewertet. Als gemeinsamer Faktor für das mehrfache Versagen stellte sich der CAN-Bus heraus.

"Schlüssel betätigt": CAN-Bus-Empfänger vertrauen Botschaften

Für Tindell lagen die Beweise für einen CAN-Injection-Angriff damit auf dem Tisch. Diese Attacke funktioniert ihm zufolge so, dass ein Angreifer sich über das CAN-Bus-Netzwerkprotokoll in die interne Kommunikation des Autos einklinkt und gefälschte Nachrichten sendet wie "Schlüssel bestätigt, Wegfahrsperre entriegeln". In den meisten Fahrzeugen sind diese internen Botschaften nicht geschützt: Die Empfänger vertrauen ihnen einfach. Diebe können dafür ein einfaches elektronisches Gerät, um Nachrichten wie vom Smart-Key-Modul zu senden. Das Gateway-Steuergerät kopiert diese Eingaben auf den CAN-Bus, das Motorsteuerungssystem akzeptiert sie und deaktiviert die Wegfahrsperre.

Die Diebe können das Eingabegerät auch verwenden, um eine andere gefälschte CAN-Nachricht an das Türsteuergerät zu schicken. Sie müssen also nicht einmal das Auto beschädigen, um es aufzubrechen: Sie können einfach die Tür öffnen, einsteigen und wegfahren – ohne den Schlüssel zu benötigen. Die Fehlermeldungen bei dem Toyota entstanden, als die Hacker den Frontscheinwerfer aufbrachen, die Verkabelung herausrissen und diese freigelegten Verbindungen nutzten, um auf den CAN-Bus zuzugreifen.

Diebeswerkzeug im Bluetooth-Lautsprecher versteckt

Tabor stöberte auf Basis von Tindells Erklärungen im Dark Web, auf Webseiten, die sich mit dem Diebstahl von Autos befassen, in Foren und auf YouTube herum. Er stieß auf einen Online-Marktplatz, auf dem mehr als hundert Produkte zur Umgehung der Sicherheitsvorkehrungen in Autos verkauft werden. Sie reichen von der Programmierung gefälschter Schlüsselanhänger bis hin zu "Notstart"-Geräten. Die Preise sind für einen normalen Autobesitzer mit bis zu 5000 Euro recht hoch, aber für eine kriminelle Bande dürfte das Geld gut angelegt sein. Tabor stieß auf einschlägige Produkte für viele Automodelle, unter anderem von Jeep, Maserati, Honda, Renault, Jaguar, Fiat, Peugeot, Nissan, Ford, BMW, Volkswagen, Chrysler, Cadillac – und Toyota.

Das "Notstart"-System für gängige Modelle des japanischen Autobauers inklusive Lexus, Land Cruiser und Prius und Highlander besteht aus einem Stück Elektronik, das in einem JBL-Bluetooth-Lautsprechergehäuse versteckt ist. So können die Diebe vortäuschen, keine offensichtlichen Klau-Werkzeuge bei sich zu haben. Das Gerät enthält Komponenten im Wert von etwa 10 US-Dollar: einen PIC18F-Chip mit CAN-Hardware und Firmware, einen CAN-Transceiver und eine zusätzliche Schaltung, die mit diesem verbunden ist. Die Bausteine werden von der Lautsprecherbatterie mit Strom versorgt. Tindell rät betroffenen Autobauern dringend, ein Software-Update herauszugeben, um das Funktionieren des CAN-Eingabegeräts zu verhindern, sowie die Protokollnachrichten zu verschlüsseln.

Auch Lkw-Netzwerkprotokoll angreifbar

Die IT-Sicherheitsfirma Cymotive warnte bereits im Juli, dass insbesondere das erweiterte CAN-FD-Protokoll (Flexible Data Rate) es über eine Lücke namens CANCAN ermögliche, die über das Protokoll versendeten Nachrichten einzukapseln und so gefälschte Befehle einzuschleusen. Ein Manager des israelischen Unternehmens verwies jüngst auch darauf, dass das in fast allen Lkw vorkommende Netzwerkprotokoll SAE J1939, das die Kommunikation auf einem CAN-Bus zur Übermittlung von Diagnosedaten und Steuerungsinformationen beschreibt, ebenfalls leicht angreifbar sei.

Das Keyless-Go-System, das als Pendant zu Smart Key fungiert, gilt unter Experten seit Längerem als unsicher. ADAC-Prüfer konnten in Tests mit etwa 300 Fahrzeugmodellen fast immer die Sperre überwinden. Als Schwachstelle gilt unter anderem der Funkeinheitscode der Autoschlüssel, mit dem sich Öffnungs- und Schließchiffren oft nicht unterscheiden lassen. Dazu kommt, dass das Signal häufig dauerhaft gesendet wird. Angreifer können so alle aktiven Funkcodes vom Auto und vom Schlüssel mit einem eigenen Sender schier beliebig verlängern und das Schließsystem durch diese Relay-Attacke entriegeln. Dies hat Folgen etwa für den Versicherungsschutz. Auch Apps in vernetzten Autos dienen als Angriffsfläche.

(tiw)