CAN-Spoofing: Diebe stehlen Autos über die Scheinwerfer
Vandalismus, dachte Ian Tabor, als er einen Kotflügel seines Autos abgerissen vorfand. Das Scheinwerferkabel war herausgerissen. Auch als dies drei Monate später noch einmal passierte, schöpfte er keinen Verdacht - zwei Tage später war sein Auto weg. Tabor, der in Großbritannien als Sicherheitsforscher für die Automobilindustrie arbeitet, wollte herausfinden, wie der Diebstahl ablief. Dabei wandte er sich an seinen Freund Ken Tindell von Canis Automotive Labs; zusammen untersuchten sie das Vorgehen der Diebe(öffnet im neuen Fenster) .
Die Suche begann im Telematiksystem des gestohlenen Toyota Rav4: Das Fahrzeug sendet unter anderem die Daten der On-Board-Diagnose(öffnet im neuen Fenster) (OBD) an Server des Herstellers, sie lassen sich dann über eine App abrufen. Sofort fielen Tabor die vielen Fehlermeldungen unterschiedlichster Systeme zum Zeitpunkt des Diebstahls auf.
Diese Fehlermeldungen legten nahe: Die Diebe nutzten den CAN-Bus, um Tabors Auto zu öffnen und wegzufahren. Bei seinen Nachforschungen stieß er auf ein Gerät, das als "Notstartsystem" verkauft wurde - zum Preis von 5.000 Euro. Es ist unauffällig in einem Bluetooth-Lautsprecher untergebracht. Tabor beschloss, ein solches Gerät zu kaufen und mit Tindell, der jahrelange Erfahrung mit dem Controller Area Network(öffnet im neuen Fenster) hat, zu untersuchen.
Bluetooth-Box gibt sich als Schließsystem aus
Im Inneren der Box fanden sie eine zusätzliche Schaltung, die aus einem PIC-Mikrocontroller, CAN-Transceiver und einer kleinen Schaltung besteht. Die Schaltung ist zentral für die Funktion: Sie stellt alle anderen Geräte ruhig, die am selben Bus hängen. So kann das Diebstahl-Gerät ungestört arbeiten.
Dazu zwingt die Schaltung den Bus in seinen Neutralzustand, der zwischen 0- und 1-Pegel liegt. Der Mikrocontroller sendet dann vorgegebene Datensequenzen: Mit der ersten weckt er die schlafende Elektronik auf, danach werden gefälschte Nachrichten des Schließsystems gesendet, um die Wegfahrsperre zu entriegeln und die Türen zu öffnen.
Möglich ist das, da viele Systeme über CAN nur wenige Byte große Kommandos verschicken. Zwar sind die meist undokumentiert und unterscheiden sich von Hersteller zu Hersteller, mit ausreichend Ausdauer lassen sie sich allerdings entschlüsseln. Diebe müssen dann nur noch einen möglichst leicht erreichbaren Zugang zum passenden CAN-Bus finden - moderne Autos haben davon mehrere, die über Gateways verbunden sind. Beim Rav4 wurden sie im Scheinwerfer fündig, der ebenfalls über CAN gesteuert wird. So lassen sich Systeme wie Leuchtweitenregulierung einfacher umsetzen als mit vielen einzelnen Kabeln.
Gegenmaßnahmen sind möglich
Ken Tindell schlägt in seinem ausführlichen Blog-Beitrag auch Gegenmaßnahmen vor. Die sinnvollere ist, bei den CAN-Nachrichten statt auf Security by Obscurity auf Authentifizierungsmechanismen zu setzen. Die könnte aber, da deutlich mehr Daten zu übertragen sind, bei Serienfahrzeugen nicht nachzurüsten sein.
Alternativ schlägt er eine Neuprogrammierung des Gateways vor. Das Notstartgerät verursacht bestimmte Fehler, die das Gateway erkennen und in diesen Fall Nachrichten nicht mehr zur Motorsteuerung weiterleiten könnte - Schließsystem und Motorsteuerung hängen an unterschiedlichen Bussen. Die Türen ließen sich dennoch öffnen, die Türsteuerung ist nicht durch ein Gateway getrennt. Das sei allerdings, so Tindell, auch keine optimale Lösung: Die Diebstahlschaltung könne angepasst werden. Da sie aber sehr einfach aufgebaut sei, hofft er, Autohersteller könnten sich damit Zeit zur Entwicklung einer richtigen Lösung erkaufen.