Connected Cars: Gefährliche Schwachstelle im Fahrzeugnetzwerk CAN

Originalartikel von Federico Maggi, Senior Threat Researcher

Forschern und Ingenieuren ist es bereits ein paarmal gelungen, moderne, Internet-fähige Autos zu hacken. Ein berühmtes Beispiel ist der Chrysler Jeep-Hack der Forscher Charlie Miller und Chris Valasek. All diese Demonstrationen beruhten auf bestimmten Schwachstellen in spezifischen Automarken. Sobald die Schwachstellen öffentlich wurden, schlossen die Hersteller diese sofort. Was aber, wenn es einen erfolgreichen Hack gibt, der die Leistung und Funktion des Autos drastisch beeinflusst und gleichzeitig herstellerunabhängig ist? Genau dies hat eine gemeinsame Forschung des Politecnico di Milano, Linklayer Labs und des Trend Micro Forward-looking Threat Research (FTR) Team ergeben.

Die Schwachstelle ist derzeit durch moderne Sicherheitstechnik für Autos nicht zu bekämpfen. Eine vollständige Schließung der Lücke würde weitreichende Änderungen in Standards sowie Modifizierungen in der Art und Weise, wie In-Fahrzeug-Netzwerke und Geräte gemacht werden, erfordern. Realistisch betrachtet, würde es eine ganze Generation von Fahrzeugen benötigen, um eine solche Schwachstelle zu schließen, und nicht lediglich einen Rückruf oder ein OTA (On-the-Air) Upgrade.

Wir geben Antworten auf ein paar Fragen, die mutmaßlich gestellt werden:

Ein weiterer “Car Hacking”-Machbarkeitsbeweis? Was ist neu daran?

Das Neue an diesem Hack ist die Tatsache, dass es sich um einen Angriff handelt, der ein Gerät außer Gefecht setzt (z.B. Airbag, Parksensoren, aktive Safety-Systeme), das mit dem Gerätenetzwerk des Autos verbunden ist, und zwar in einer Art und Weise, die für Stand-der-Technik Sicherheitsmechanismen unsichtbar ist.

Welches sind die wichtigsten Lehren aus dieser Forschung?

Zugang zum Fahrzeug eines anderen zu haben, ist eine alltägliche Situation, und es gibt viele legitime Anwendungsfälle. Darum ist es an der Zeit, dass Standardisierungsgremien, Entscheider und Fahrzeughersteller diese geänderte Situation berücksichtigen und das Design der cyberphysischen Systeme, die künftige Automobile steuern, in puncto Sicherheit überarbeiten.

Ist mein Auto davon betroffen?

Wahrscheinlich ja. Der Angriff ist herstellerneutral. Doch könnten bestimmte Hersteller nicht standardisierte Gegenmaßnahmen einführen, um die Durchführung des Angriffs zu erschweren.

War nicht der “Jeep Hack” der bislang am meisten fortgeschrittene Angriff?

Der “Jeep Hack” war tatsächlich sehr weit fortgeschritten und effizient. Doch die derzeit verfügbare In-Car Cybersecurity-Technologie (z.B. Zubehör-IDS/IPS) konnte einen solchen Angriff erkennen, weil er Frame-Injection-Fähigkeiten benötigte. Außerdem konnten Autohersteller einfach die Software auf den Autogeräten aktualisieren, um die Sicherheitslücken, die der Angriff ausnutzte, zu schließen.

Wie lang brauchen die Fahrzeughersteller, um dieses Problem zu lösen?

Es ist nicht die Schuld der Fahrzeughersteller, und es ist auch kein Problem, das sie verursacht haben. Das Sicherheitsproblem, das unsere Forschung zutage gefördert hat, liegt am Standard, der festlegt, wie das Car Device Network (CAN) funktioniert. Autohersteller können den Angriff lediglich abschwächen, wenn sie bestimmte Netzwerkgegenmaßnahmen (wir wir gezeigt haben) einführen, doch gänzlich können sie den Angriff nicht verhindern. Um das Risiko auszuschließen, sollte ein Update für den CAN-Standard vorgeschlagen, angenommen und implementiert werden. Dieser ganze Prozess würde eine weitere Autogeneration brauchen.

Fehler im System: Die Design-Schwachstelle im CAN-Standard

Der Angriff missbraucht das Netzwerkprotokoll, dass die gesamte In-Fahrzeug-Ausrüstung (Parksensoren, Airbag, aktive Safety-Systeme) und Systeme (Infotainment) verbindet und deren Kommunikation ermöglicht. Beispielsweise ermöglicht CAN (der Standard dafür nennt sich Controller Area Network oder CAN), dass das Infotainment oder Safety-System Nachrichten vom Airbag bekommt, um zu erfahren, ob es im Fall eines Unfalls nach Hause telefonieren soll.

CAN wird heutzutage praktisch in jedem leichten Nutzfahrzeug eingesetzt und wurde von einem US-Bundesgerichtshof als einzig akzeptablen Standard gepusht.


Bild 1. Ein typisches CAN-Netzwerkdiagramm (*1)

Die CAN-Nachrichten, einschließlich der Errors, werden “Frames” genannt. Der von den Forschern durchgeführte Angriff bezog sich darauf, wie CAN mit Errors umgeht. Diese Fehler entstehen, wenn ein Gerät Werte liest, die nicht den ursprünglichen, erwartungsgemäßen Werten eines Frames entsprechen. Sendet ein Gerät zuviele Fehler an CAN, wird es isoliert, um eventuelle Fehlfunktionen zu vermeiden. Genau dies nutzten die Forscher aus und erzeugten so viele Fehler, dass das Zielgerät isoliert wurde. Das aber kann die Leistung des betroffenen Fahrzeugs drastisch und gefährlich ändern, vor allem wenn wichtige Systeme wie Airbags oder Antiblockierschutz der Bremsen deaktiviert werden.

Dafür bedarf es lediglich eines speziell erstellten Angriffsgeräts, das über lokalen Zugriff in das CAN des Fahrzeugs eingefügt wird, und der Wiederverwendung von Frames, die bereits im CAN zirkulieren. Eine ausführlichere Beschreibung bietet der Originalbeitrag.

Bild 2. Angriffsablauf (*1)

Remote vs. lokal zugänglichen Schwachstellen in modernen Fahrzeugen

Häufig werden Machbarkeitsbeweise für das Hacking von Fahrzeugen mit dem Argument abgetan, es bedürfe dafür lokalen Zugangs zum Fahrzeug. Zum Einen lässt sich der aktuelle Angriff mit jeder aus der Ferne ausnutzbaren Schwachstelle durchführen, die es dem Angreifer ermöglicht, die Firmware eines ECUs (z.B. Infotainment-System) neu zu programmieren. Zum Anderen sollten auch lokale Attacken ernst genommen werden. Traditionell ist das Szenario, infolgedessen ein Angreifer lokal Zugang zu einem Fahrzeug erlangen könnte, selten anzutreffen und zudem für den Akteur sehr riskant. Doch heutzutage ändert sich dies aufgrund von Trends wie Ride-Sharing, Carpools und Mietwagen. Deshalb ist auch ein Paradigmenwechsel bei der Cybersicherheit von Fahrzeugen erforderlich.

Gegenmaßnahmen

Eine kurzfristige Lösung für das Problem gibt es nicht, denn wie bereits erwähnt liegt die Schwachstelle im Design. Einige langfristige Lösungen können gegen solche Exploits helfen:

  • Netzwerksegmentierung oder Änderung der Topologie in einem CAN kann die gezielte Fehlerflut daran hindern, ein bestimmtes System zu beeinflussen.
  • Regulierter OBD-II Diagnostic Port-Zugang: Das Erstellen eines speziellen Hardwareschlüssels oder Passworts, um den Behälter zu öffnen, in dem der Port physisch liegt, kann gegen das Einschleusen von illegale oder nicht autorisierten Geräte schützen. Die Implementierung einer Authentifizierung auf Softwareebene, um Verkehr von und zu dem Port zu erlauben, ist ebenfalls zu erwägen. Dafür bedürfte es einer Änderung der Verordnungen.
  • Verschlüsselung: Das Verschlüsseln von CAN Frame ID-Feldern kann einen Angreifer daran hindern, CAN Frames als Ziel zu finden. Das führt zu auffälligeren und viel besser zu erkennenden Angriffsmustern.

Die Forscher haben ihre Ergebnisse an das US/ICS-CERT weitergegeben und ein Alert wurde veröffentlicht.

Weitere Informationen zum Hack finden Interessierte in dem technischen Whitepaper „A Vulnerability in Modern Automotive Standards and How We Exploited It”.

*1: A Stealth, Selective, Link-layer Denial-of-Service Attack Against Automotive Networks, Andrea Palanca (Politecnico di Milano (Italy)); Eric Evenchick (Linklayer Labs); Federico Maggi (FTR, Trend Micro, Inc.); Stefano Zanero (Politecnico di Milano (Italy))

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*