Designfehler: Forscher schalten Sicherheitsfunktionen moderner Fahrzeuge ab

Betroffen ist der sogenannte CAN Bus, über den Geräte und Komponenten in Fahrzeugen mit den Steuerungssystemen kommunizieren. Manipulierte Fehlermeldungen erlauben es, einzelne Geräte vom CAN Bus zu trennen und dadurch abzuschalten. Der Fehler steckt im CAN-Standard und lässt sich derzeit nicht beheben.

Trend Micro hat in Zusammenarbeit mit Forschern des Polytechnikum Mailand sowie des Sicherheitsanbieters Linklayer Labs eine kritische Schachstelle in Steuerungssystemen moderner Fahrzeuge gefunden. Die Schwachstelle erlaubt es beispielsweise, Sicherheitsfunktionen wie Airbags oder das Anti-Blockier-System ABS abzuschalten. Da es sich um einen Designfehler handelt, kann das Problem weder mit einem Rückruf noch mit einem Softwareupdate behoben werden.

Hacker (Bild: Shutterstock)Kraftfahrzeuge nutzen ein 1986 von Bosch und Intel vorgestelltes Bussystem. Die Controller Chips des sogenannten Car Area Network Bus (CAN Bus) kommunizieren über das CAN Bus Messaging Protocol, in dem der eigentliche Fehler steckt. Das Protokoll wiederum kommt unabhängig vom Fahrzeughersteller und –modell sowie den verwendeten elektronischen Komponenten zum Einsatz. Deswegen sind alle Anbieter betroffen.

Den Forschern ist es gelungen, eine Angriffsmethode zu entwickeln, die gebräuchliche Techniken zur Erkennung und Abwehr von Cyberattacken umgeht. Sie sollen den CAN Bus eigentlich vor gefährlichen CAN-Nachrichten schützen.

Es kommen jedoch keine speziell präparierten CAN-Bus-Nachrichten – auch Frame genannt – zum Einsatz. Stattdessen richtet sich der Angriff gegen Fehlermeldungen, die der CAN Bus verarbeitet. Erhält er nämlich zu viele Fehlermeldungen von einem Gerät, wird dessen Verbindung zum Car Area Network getrennt, wodurch das Gerät abgeschaltet wird.

„Fehler entstehen, wenn ein Gerät Werte liest, die nicht den für einen Frame erwarteten Werten entsprechen. Wenn ein Gerät einen solchen Vorfall erkennt, schickt es eine Fehlermeldung an den CAN Bus, um den fehlerhaften Frame zurückzurufen und alle anderen Geräte anzuweisen, den zurückgerufenen Frame zu ignorieren.“ Das geschehe sehr häufig, beispielsweise wenn zu viele Systeme und Module versuchten, gleichzeitig Frames zu verschicken.

Angriff auf CAN macht sich Obergrenze für Fehlermeldungen zunutze

Der CAN-Standard definiere jedoch eine Obergrenze für Fehlermeldungen eines Geräts. Wird diese erreicht, werde das Gerät in einen sogenannten Bus-Off-Zustand versetzt – die Verbindung zum CAN werde gekappt und das Gerät könne weder Daten lesen noch schreiben. Ziel sei es, offensichtlich defekte Geräte zu isolieren, um zu verhindern, dass sie andere Systeme innerhalb des CAN beeinflussen. Genau diese Funktion mache sich der Angriff zu nutze.

Allerdings benötigt ein Hacker für diesen Angriff direkten Zugriff auf das Fahrzeug, um ein speziell präpariertes Gerät anzuschließen, dass wiederum eine Komponente des Fahrzeugs wie ABS angreift. Das präparierte Gerät fängt dann einen legitimen Error-Frame beispielsweise des ABS ab, überschreibt den Korrekturbit und wiederholt diesen manipulierten Frame solange, bis das ABS vom restlichen System getrennt und damit abgeschaltet wird.

Der Sicherheitsexperte Charlie Miller, dem es 2015 gelungen war, einen fahrenden Chrysler Jeep aus der Ferne zu hacken, rät, die Intrusion-Detection-Systeme (IDS) des CAN Bus an den neu entdeckten Angriff anzupassen. Er geht allerdings auch davon aus, dass ein IDS nicht in der Lage sein wird, den Unterschied zwischen einer fehlerhaften Komponente und einem Angriff zu erkennen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Themenseiten: Auto & IT, Security, Sicherheit, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Designfehler: Forscher schalten Sicherheitsfunktionen moderner Fahrzeuge ab

Kommentar hinzufügen
  • Am 21. August 2017 um 8:21 von M.G.

    Hmm,
    die Überschrift stimmt zwar, aber wirkt nach komplettem Lesen des Artikels etwas „reißerisch“…
    Sie suggeriert meiner Meinung nach ein abschalten von „außen“ und evtl. sogar während der Fahrt.
    Die einzelnen Steuergeräte können aber nur durch direkten Zugriff (hardwareseitig) abgeschaltet werden. Das bedeutet, daß der Nutzer/Fahrer beim nächsten Fzg-Start auch ’ne Fehlermeldung bekommt (z.B. „ABS defekt => Werkstatt“) und entsprechend handeln kann.

    Vergleichbar wäre „Ganoven manipulieren Haushaltskasse unschuldiger Bürger“ wobei dann im Artikel steht, daß Einbrecher Bargeld aus einem Haus gestohlen haben.

  • Am 30. August 2017 um 8:23 von MS

    Hier wird etwas als „Schwäche / Sicherheitslücke“ verkauft, das elementarer Bestandteil des Fehlerbehandlungskonzepts von Feldbussystemen ist: nämlich daß fehlerhafte Teilnehmer nicht den Bus lahmlegen können. Durch physikalischen Zugriff auf Datenleitungen kann man JEDES Kommunikationssystem lahmlegen. Das ist nicht besonderes und schon gar keine neue Erkenntnis oder ein Hack.

    Das Konzept der Funktionalen Sicherheit (ISO26262) nachdem heute alle kritischen Fahrzeugfunktionen entwickelt werden bezieht das Szenario, daß ein Kommunikationssystem ausfällt immer mit ein. Sicherheitskritische Botschaften werden heute außerdem mit Methoden der Authentifizierung und Verschlüsselung gegen Manipulationen abgesichert. Was hier beschrieben wird muß also niemanden beunruhigen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *