Wir haben noch kein echtes Smartphone-Botnetz erlebt, da taucht am Horizont die Möglichkeit eines Auto-Botnetzes auf. Ich will in Folgendem die im Paper “Comprehensive Experimental Analyses of Automotive Attack Surfaces” dargestellten Angriffsvektoren zusammenfassen.
Begriffe:
CAN-Bus
Der CAN-Bus ist ein Bussystem, welches in verschiedenen Bereichen der Industrie eingesetzt wird. Ursprünglich wurde es von Bosch für die Autoindustrie entwickelt. Es arbeitet seriell und asynchron. Kollisionen auf dem Bus werden mit CSMA/CA erkannt und vermieden. Die CAN-Spezifikation legt Layer 1 und Layer 2 fest. Höhere Layer werden durch in anderen Standards für die jeweiligen Anwendungsbereiche festgelegt (z.B. DeviceNet, canOpen oder ISO 15765).[1] [2] [3]
Bereiche in denen CAN eingesetzt wird [3]:
- Transportation
- Manufacturing
- Construction
- Agriculture
- Healthcare
- Communication
- Retail and finance
- Entertainment
- Science
In dem untersuchten Auto gab gibt es mehrere CAN-Busse, die, wenn nötig, miteinander über Bridges verbunden waren. Wenn ich also in folgendem “hatten Zugriff auf den CAN-Bus” schreibe, dann ist damit zunächst der Zugriff auf den direkt angeschlossenen Bus gemeint.
Das Paper definiert 3 Bereiche, aus denen ein Zugriff auf das Auto erfolgen kann.
indirekter, physikalischer Zugriff
In den Bereich des indirekten, physikalen Zugriffs werden folgende 2 Möglichkeiten genannt.
OBD-II: Die OBD-Schnittstelle bietet Zugriff auf den CAN-Bus und damit auf das Auto. Die Autoren weisen darauf hin, dass die Autohersteller zudem immer mehr von einem separaten Handheld für das Auslesen der OBD-Schnittstelle zu einem pass-through (z.B. mit USB) an einen normalen PC übergeben. Damit greifen die klassischen Angriffsvektoren, die zuerst den Analyse-PC und dann das Auto infizieren könnten.
Entertainment-System: Immer mehr Entertainment-Systeme im Auto haben Zugriff auf den CAN-Bus. Ein aufgeführtes Beispiel ist die iPod-Out-Unterstützung in neuen BMW-Modellen. Auch weil die CD-Player nicht mehr standalone arbeiten sondern z.B. Daten auf der Konsole anzeigen oder anderweitig in das Auto integriert sind, ergibt sich hier eine Möglichkeit das Auto anzugreifen.
Die Wissenschaftler haben in dem untersuchten Auto 2 Lücken gefunden, die sich ausnutzen lassen. Zum einen wurde in dem CD-Player eine (wahrscheinlich herstellerspezifische) Möglichkeit für ein Firmware-Upgrade gefunden. Die im Player eingebaute und durch die Firmware gesteuerte CPU hatte Zugriff auf den CAN-Bus. Die andere Möglichkeit eigene Signale auf den CAN-Bus zu legen haben die Wissenschaftler durch manipulierte WMA-Dateien erlangt. Sie wird sowohl auf dem PC als auch im Autoradio problemlos abgespielt. Im Autoradio sendet sie allerdings zusätzlich noch Frames auf den CAN-Bus.
Remotezugriff über kurze Distanzen
Bluetooth: Der Angriff eines Autos mittels Bluetooth wurde nicht nur theoretisch sondern auch praktisch durchgeführt. Hierzu wurde sowohl ein beim Auto registriertes als auch ein nicht registriertes Gerät für den Angriff genutzt. Beide Angriffe erlaubten in letzter Instanz die volle Kontrolle über den CAN-Bus. Einer der Angriffe hat einen Buffer-Overflow auf dem Stack ausgenutzt, der durch die Bluetooth-Implementierung entstanden ist.
Remotezugriff über weite Distanzen
Für den Remote-Angriff auf das untersuchte Auto haben sich die Hacker das Telematics-System ausgesucht. Dieses besitzt eine Schnittstelle zum GSM und 3G-Netz. Die untersuchte Software war von Airbiquity und hat zum Kontrollcenter, welches vom Autoanbieter betrieben wird, eine Verbindung aufgebaut. Die Forscher nennen das Protokoll, welches zwischen diesen zwei Entitäten gesprochen wird, aqLink Protokoll. In dessen Implementierung haben sie einige Buffer-Overflows gefunden, unter anderem eine in der Authentifizierung:
To summarize, we identified several vulnerabilities in how our telematics unit uses the aqLink code that, together, allow a remote exploit. Specifically, there is a discrepancy between the set of packet sizes supported by the aqLink software and the buffer allocated by the Telematics client code. However, to exploit this vulnerability requires first authenticating in order to set the call timeout value long enough to deliver a sufficiently long payload. This is possible due to a logic flaw in the unit’s authentication system that allows an attacker to blindly satisfy the authentication challenge after approximately 128 calls
Das ist schon ganz großes Kino für Hacker.
Einer der weiteren Angriffsvektoren war das installierte Reifendrucksysteme und das Radio (genauer: FM) gehacked:
Die Informationen stammen jeweils aus den angegebenen Quellen bzw aus dem Paper. Berichtigungen gerne per Mail, siehe Input. Ich habe das Paper teilweise nur überflogen, falls also etwas wichtiges fehlen sollte: melden!
Quellen:
Sorry, the comment form is closed at this time.