Hacker können Airbags in Autos abschalten

Martin Schindler,
IT im Auto (Bild: Shutterstock.com/Syda Productions)

Ein Fehler in Car Area Network Bus (CAN Bus) macht Fahrzeuge aller Hersteller für Hackerangriffe verwundbar. Der Fehler lässt sich wohl kaum beseitigen.

Die Systemsteuerung moderner Fahrzeuge weisen einen Designfehler auf, über den Hacker die Kontrolle über Teile des Fahrzeugs übernehmen können. So können beispielsweise Sicherheitsfunktionen wie Airbags oder das Anti-Blockier-System ABS abgeschalten werden. Da es sich um einen Designfehler handelt, lässt sich das Problem auch nicht mit einem Rückruf oder einem Softwareupdate behoben. Entdeckt haben das Leck Trend Micro hat in Zusammenarbeit mit Forschern des Polytechnikum Mailand sowie des Sicherheitsanbieters Linklayer Labs.

Über eine Reihe von Fehlermeldungen kann das CAN-Bus-System in einem Auto von Hackern übernommen werden. (Bild: Trend Micro)
Über eine Reihe von Fehlermeldungen kann das CAN-Bus-System in einem Auto von Hackern übernommen werden. (Bild: Trend Micro)

Der Fehler liegt in einem 1986 von Bosch und Intel vorgestellten Bussystem. Die Controller Chips des sogenannten Car Area Network Bus (CAN Bus) kommunizieren über das CAN Bus Messaging Protocol, in dem der eigentliche Fehler steckt. Das Protokoll wiederum kommt unabhängig vom Fahrzeughersteller und –modell sowie den verwendeten elektronischen Komponenten zum Einsatz.

Nun haben die Forscher laut eigenen Angben eine Angriffsmethode entwickelt, die gebräuchliche Techniken zur Erkennung und Abwehr von Cyberattacken umgeht. Sie sollen den CAN Bus eigentlich vor gefährlichen CAN-Nachrichten schützen.

Es kommen jedoch keine speziell präparierten CAN-Bus-Nachrichten – auch Frame genannt – zum Einsatz. Stattdessen richtet sich der Angriff gegen Fehlermeldungen, die der CAN Bus verarbeitet. Erhält er nämlich zu viele Fehlermeldungen von einem Gerät, wird dessen Verbindung zum Car Area Network getrennt, wodurch das Gerät abgeschaltet wird.

“Fehler entstehen, wenn ein Gerät Werte liest, die nicht den für einen Frame erwarteten Werten entsprechen. Wenn ein Gerät einen solchen Vorfall erkennt, schickt es eine Fehlermeldung an den CAN Bus, um den fehlerhaften Frame zurückzurufen und alle anderen Geräte anzuweisen, den zurückgerufenen Frame zu ignorieren.” Das geschehe sehr häufig, beispielsweise wenn zu viele Systeme und Module versuchten, gleichzeitig Frames zu verschicken.

Angriff auf CAN macht sich Obergrenze für Fehlermeldungen zunutze

Der CAN-Standard definiere jedoch eine Obergrenze für Fehlermeldungen eines Geräts. Wird diese erreicht, werde das Gerät in einen sogenannten Bus-Off-Zustand versetzt – die Verbindung zum CAN werde gekappt und das Gerät könne weder Daten lesen noch schreiben. Ziel sei es, offensichtlich defekte Geräte zu isolieren, um zu verhindern, dass sie andere Systeme innerhalb des CAN beeinflussen. Genau diese Funktion könne für den Angriff ausgenutzt werden.

Allerdings benötigt ein Hacker für diesen Angriff direkten Zugriff auf das Fahrzeug, um ein speziell präpariertes Gerät anzuschließen, dass wiederum eine Komponente des Fahrzeugs wie ABS angreift. Das präparierte Gerät fängt dann einen legitimen Error-Frame beispielsweise des ABS ab, überschreibt den Korrekturbit und wiederholt diesen manipulierten Frame solange, bis das ABS vom restlichen System getrennt und damit abgeschaltet wird.

Der Sicherheitsexperte Charlie Miller, dem es 2015 gelungen war, einen fahrenden Chrysler Jeep aus der Ferne zu hacken, empfiehlt die Intrusion-Detection-Systeme (IDS) des CAN Bus an den neu entdeckten Angriff anzupassen. Er geht allerdings auch davon aus, dass ein IDS nicht in der Lage sein wird, den Unterschied zwischen einer fehlerhaften Komponente und einem Angriff zu erkennen.

[mit Material Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.