CAN-Spoofing: Diebe stehlen Autos über die Scheinwerfer

Über einfache CAN-Nachrichten lassen sich Wegfahrsperre und Türen steuern. Die Werkzeuge dafür sind unauffällig: Sie stecken in einer Bluetooth-Box.

Artikel veröffentlicht am , Johannes Hiltscher
Neue Autos haben meist keinen Schlüssel mehr, stehlen lassen sie sich dennoch. Etwas Gewalt ist noch immer nötig.
Neue Autos haben meist keinen Schlüssel mehr, stehlen lassen sie sich dennoch. Etwas Gewalt ist noch immer nötig. (Bild: TheDigitalWay, Pixabay)

Vandalismus, dachte Ian Tabor, als er einen Kotflügel seines Autos abgerissen vorfand. Das Scheinwerferkabel war herausgerissen. Auch als dies drei Monate später noch einmal passierte, schöpfte er keinen Verdacht – zwei Tage später war sein Auto weg. Tabor, der in Großbritannien als Sicherheitsforscher für die Automobilindustrie arbeitet, wollte herausfinden, wie der Diebstahl ablief. Dabei wandte er sich an seinen Freund Ken Tindell von Canis Automotive Labs; zusammen untersuchten sie das Vorgehen der Diebe.

Die Suche begann im Telematiksystem des gestohlenen Toyota Rav4: Das Fahrzeug sendet unter anderem die Daten der On-Board-Diagnose (OBD) an Server des Herstellers, sie lassen sich dann über eine App abrufen. Sofort fielen Tabor die vielen Fehlermeldungen unterschiedlichster Systeme zum Zeitpunkt des Diebstahls auf.

Diese Fehlermeldungen legten nahe: Die Diebe nutzten den CAN-Bus, um Tabors Auto zu öffnen und wegzufahren. Bei seinen Nachforschungen stieß er auf ein Gerät, das als "Notstartsystem" verkauft wurde – zum Preis von 5.000 Euro. Es ist unauffällig in einem Bluetooth-Lautsprecher untergebracht. Tabor beschloss, ein solches Gerät zu kaufen und mit Tindell, der jahrelange Erfahrung mit dem Controller Area Network hat, zu untersuchen.

Bluetooth-Box gibt sich als Schließsystem aus

Im Inneren der Box fanden sie eine zusätzliche Schaltung, die aus einem PIC-Mikrocontroller, CAN-Transceiver und einer kleinen Schaltung besteht. Die Schaltung ist zentral für die Funktion: Sie stellt alle anderen Geräte ruhig, die am selben Bus hängen. So kann das Diebstahl-Gerät ungestört arbeiten.

Dazu zwingt die Schaltung den Bus in seinen Neutralzustand, der zwischen 0- und 1-Pegel liegt. Der Mikrocontroller sendet dann vorgegebene Datensequenzen: Mit der ersten weckt er die schlafende Elektronik auf, danach werden gefälschte Nachrichten des Schließsystems gesendet, um die Wegfahrsperre zu entriegeln und die Türen zu öffnen.

Möglich ist das, da viele Systeme über CAN nur wenige Byte große Kommandos verschicken. Zwar sind die meist undokumentiert und unterscheiden sich von Hersteller zu Hersteller, mit ausreichend Ausdauer lassen sie sich allerdings entschlüsseln. Diebe müssen dann nur noch einen möglichst leicht erreichbaren Zugang zum passenden CAN-Bus finden – moderne Autos haben davon mehrere, die über Gateways verbunden sind. Beim Rav4 wurden sie im Scheinwerfer fündig, der ebenfalls über CAN gesteuert wird. So lassen sich Systeme wie Leuchtweitenregulierung einfacher umsetzen als mit vielen einzelnen Kabeln.

Gegenmaßnahmen sind möglich

Ken Tindell schlägt in seinem ausführlichen Blog-Beitrag auch Gegenmaßnahmen vor. Die sinnvollere ist, bei den CAN-Nachrichten statt auf Security by Obscurity auf Authentifizierungsmechanismen zu setzen. Die könnte aber, da deutlich mehr Daten zu übertragen sind, bei Serienfahrzeugen nicht nachzurüsten sein.

Alternativ schlägt er eine Neuprogrammierung des Gateways vor. Das Notstartgerät verursacht bestimmte Fehler, die das Gateway erkennen und in diesen Fall Nachrichten nicht mehr zur Motorsteuerung weiterleiten könnte – Schließsystem und Motorsteuerung hängen an unterschiedlichen Bussen. Die Türen ließen sich dennoch öffnen, die Türsteuerung ist nicht durch ein Gateway getrennt. Das sei allerdings, so Tindell, auch keine optimale Lösung: Die Diebstahlschaltung könne angepasst werden. Da sie aber sehr einfach aufgebaut sei, hofft er, Autohersteller könnten sich damit Zeit zur Entwicklung einer richtigen Lösung erkaufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


fuwuchs 11. Apr 2023 / Themenstart

Tatsächlich liegst du da falsch. Die Blinker können/müssen im ausgeschalteten Zustand...

Lasse Bierstrom 11. Apr 2023 / Themenstart

Bei LIN wird vom Master eine Adresse angefragt, auf die ein Slave antwortet. Man kann...

Zim 11. Apr 2023 / Themenstart

Morgen dann die Überschriften: Bäcker backen mit AI unterstütztem System. Fahradfahrer...

Pecker 11. Apr 2023 / Themenstart

Ich kenne es aktuell auch nur so, dass man auf den CAN schreibend nur noch dann drauf...

Kommentieren



Aktuell auf der Startseite von Golem.de
Grace Hopper Superchip
Nvidia zeigt den DGX GH200 AI-Supercomputer

Die Kombination aus Grace Hopper, Bluefield 3 und NVLink ergibt funktional eine riesige GPU mit der Rechenkapazität eines Supercomputers und 144 TByte Grafikspeicher.

Grace Hopper Superchip: Nvidia zeigt den DGX GH200 AI-Supercomputer
Artikel
  1. Reiner Haseloff: Ministerpräsident fordert Nullrunde bei Rundfunkbeitrag
    Reiner Haseloff
    Ministerpräsident fordert Nullrunde bei Rundfunkbeitrag

    Zwei Jahre soll der Rundfunkbeitrag eingefroren werden, die Zukunftskommission derweil Reformideen vorlegen, schlägt Sachsen-Anhalts Ministerpräsident vor.

  2. System Shock Remake angespielt: Die Kult-KI Shodan kämpft frisch entfesselt
    System Shock Remake angespielt
    Die Kult-KI Shodan kämpft frisch entfesselt

    System Shock gilt als wegweisendes Shooter-Rollenspiel. Jetzt ist Golem.de im Remake wieder gegen die Super-KI Shodan angetreten (Windows-PC).
    Von Peter Steinlechner

  3. Gefangen im Zeitstrom, verloren im All: Die zehn besten Sci-Fi-Serien der 1960er
    Gefangen im Zeitstrom, verloren im All
    Die zehn besten Sci-Fi-Serien der 1960er

    Sie sind die Klassiker, auf denen das ganze Genre aufbaut: die großen Science-Fiction-Serien der 1960er. Neben Star Trek gab es hier noch viel mehr.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Microsoft Xbox Wireless Controller 40,70€ • Lexar Play 1 TB 99,60€ • DAMN!-Deals mit AMD-Bundle-Aktion • MindStar: AMD Ryzen 9 5950X 429€, MSI RTX 3060 Gaming Z Trio 12G 329€, GIGABYTE RTX 3060 Eagle OC 12G 299€, be quiet! Pure Base 500DX 89€ • Logitech bis -46% [Werbung]
    •  /