Гетти Изображений
Когда житель Лондона обнаружил, что передний левый бампер его Toyota RAV4 оторван, а фара частично разобрана не один, а два раза за три месяца прошлого года, он заподозрил бессмысленный вандализм. Когда автомобиль пропал через несколько дней после второго инцидента, а вскоре после этого сосед обнаружил пропажу их Toyota Land Cruiser, он обнаружил, что они были частью новой и сложной техники совершения краж без ключа.
Так уж получилось, что владелец, Ян Табор, является исследователем кибербезопасности, специализирующимся на автомобилях. Расследуя, как был украден его RAV4, он наткнулся на новую технику, называемую атакой с инъекцией CAN.
Дело о неисправном CAN
Табор начал с изучения телематической системы MyT, которую Toyota использует для отслеживания аномалий в работе транспортных средств, известных как DTC (диагностические коды неисправностей). Выяснилось, что во время угона его автомобиль зафиксировал множество кодов неисправности.
Коды ошибок показали, что связь между шиной CAN RAV4 (сокращение от Controller Area Network) и электронным блоком управления фары была потеряна. Эти ЭБУ, как их сокращенно называют, находятся практически во всех современных автомобилях и используются для управления множеством функций, включая дворники, тормоза, отдельные фары и двигатель. Помимо управления компонентами, ECU отправляют сообщения о состоянии по CAN, чтобы держать другие ECU в курсе текущих условий.
На этой диаграмме показана топология CAN для RAV4:
Схема, показывающая топологию CAN RAV4.
Кен Тинделл
Коды DTC, показывающие, что левая фара RAV4 потеряла контакт с CAN, не были особенно удивительными, учитывая, что мошенники оборвали кабели, которые ее соединяли. Более показательным стал отказ одновременно многих других ЭБУ, в том числе передних камер и гибридного управления двигателем. Взятые вместе, эти сбои свидетельствовали не о том, что вышли из строя ЭБУ, а о том, что шина CAN неисправна. Это заставило Табера искать объяснение.
Затем исследователь и жертва кражи обратились к криминальным форумам в темной сети и видео на YouTube, обсуждая, как угонять автомобили. В конце концов он нашел рекламу устройств с пометкой «аварийный запуск». Якобы эти устройства были разработаны для использования владельцами или слесарями в случае отсутствия ключа, но ничто не мешало их использованию кем-либо еще, включая воров. Табер купил рекламируемое устройство для запуска различных автомобилей от Lexus и Toyota, включая RAV4. Затем он приступил к реинжинирингу и с помощью друга и коллеги, эксперта по автомобильной безопасности Кена Тинделла, выяснил, как это работает на CAN RAV4.
Внутри этого динамика JBL скрыта новая форма атаки.
Исследование выявило форму кражи автомобиля без ключа, которую ни один исследователь раньше не видел. В прошлом воры добивались успеха, используя так называемую ретрансляционную атаку. Эти хаки усиливают сигнал между автомобилем и брелком без ключа, используемым для его разблокировки и запуска. Брелоки без ключа обычно общаются только на расстоянии нескольких футов. Размещая рядом с автомобилем простое портативное радиоустройство, воры усиливают обычно слабое сообщение, которое посылают автомобили. При достаточном усилении сообщения достигают ближайшего дома или офиса, где находится брелок. Когда брелок отвечает криптографическим сообщением, которое отпирает и запускает автомобиль, ретранслятор мошенника передает его машине. С этими словами мошенник уезжает.
«Теперь, когда люди знают, как работает ретрансляционная атака… владельцы автомобилей держат свои ключи в металлическом ящике (блокируя радиосообщение от автомобиля), а некоторые автопроизводители теперь поставляют ключи, которые переходят в спящий режим, если они не двигаются в течение нескольких минут (и таким образом выигрывают). не получают радиосообщение от машины)», — написал Тинделл в недавнем посте. «Столкнувшись с этим поражением, но не желая отказываться от прибыльной деятельности, воры перешли к новому способу обхода безопасности: обходу всей системы смарт-ключей. Они делают это с помощью новой атаки: CAN Injection».
