Эксперты предупредили, что угон авто возможен через вскрытие фар и подключение к CAN-шине

В продаже появилось новое устройство, которое позволяет угонять автомобили при помощи нового типа атак. Схема, получившая название CAN-инъекция, подразумевает получение доступа к внутренней CAN-шине автомобиля через электронику фары. Само устройство маскируется под безобидный объект, например, беспроводную колонку.

Первые инциденты были зафиксированы еще в 2022 году – тогда Иан Табор (исследователь в сфере интернет-безопасности), заметил, что на его Toyota RAV4 появились странные повреждения переднего крыла. Через несколько дней автомобиль был угнан, позднее на той же улице произошли аналогичные инциденты. Табор принял решение провести собственное расследование, что позволило обнаружить и изучить новую схему получения доступа к машинам.

Специалист изучил содержимое журнала MyT, в который заносятся все отклонения от штатной работы систем. Кроме прочего, присутствовали ошибки, указывающие на потерю связи между электронным блоком управления (ЭБУ) и CAN-шиной.

Наличие кодов, указывающих на потерю связи с левой фарой RAV4, были ожидаемы, поскольку воры физически отключили проводку. Однако одновременно появились и другие ошибки – отклонения в работе зафиксированы в других узлах. Это указывало на то, что проблемы исходили непосредственно от CAN-шины.

Поиск в сети информации об аналогичных инцидентах вывел специалиста на объявление о продаже устройства, которое позволяет осуществить «аварийный запуск». В описании указывается, что инструмент предназначен для автосервисов и владельцев авто на случай отсутствия ключа. Однако сразу понятно, что ничто не мешает использовать данный модуль для угона чужих авто. Табор свободно приобрел устройство и начал его детальное изучение.

В своем блоге специалист также отметил, что ранее злоумышленники чаще всего использовали атаки, основанные на использовании специального ретранслятора. Схема подразумевала усиление сигнала в процессе обмена данными между брелком и автомобилем. Такие ключи, позволяющие удаленно запускать двигатель и разблокировать авто, имеют малый радиус действия.

Однако ретранслятор позволяет усилить такой сигнал до уровня, при котором брелок реагирует и отправляет ответное сообщение. Ретранслятор передает его на приемное устройство автомобиля, что и позволяет вору получить к нему полный доступ.

Такой тип атаки известен давно, поэтому как производители, так и автовладельцы предпринимают меры по защите от них. К примеру, многие пользователи просто хранят брелки в металлических ящиках – этого достаточно для блокировки радиосигналов. Многие производители также комплектуют электронные ключи модулем, который инициирует переход устройства в спящий режим через несколько минут покоя. Это вынудило угонщиков активно искать другие способы кражи.

Приобретенное устройство было замаскировано под Bluetooth-колонку JBL, однако начинка была полностью заменена. Кроме прочего, использовался чип PIC18F с аппаратным обеспечением CAN и трансивер для передачи нужных сигналов через проводку. CAN-шина физически представляет собой набор проводов, в авто их обычно несколько. Для взаимодействия они подключены между собой либо напрямую через соответствующий разъем, либо через специальный шлюз.

Главное условие для успешного взлома – физический доступ к проводке. В случае с RAV4 проще всего это сделать через фару. В других местах это можно сделать только путем физического повреждения корпуса, однако это занимает время и снижает стоимость угнанного авто.

При первом подключении инжектора устройство переходит в режим ожидания, отслеживая появление сигнала о готовности машины. После получения такого сообщения осуществляется отправка пакета сообщений (порядка 20 раз в секунду), после чего активируется дополнительная цепь CAN-трансивера. В отправляемых сообщениях содержится сигнал, сообщающий о валидности смарт-ключа, который через шлюз передается в блок управления двигателем.

В таком режиме обычно происходит конфликт между данными от штатного контролера смарт-ключа и CAN-инжектора, что может помешать угону. Для этого на плате предусмотрен дополнительный узел, который блокирует связь между узлами шины.

На корпусе фальшивой колонки также есть кнопка «Play», у которой есть собственный функционал. При ее нажатии набор отправляемых сообщений немного модифицируется, передается команда на открытие двери (имитируется нажатие кнопки «Open» на оригинальном ключе). После этого CAN-инжектор можно отключить, поскольку ничто не мешает просто сесть в машину и уехать.

В публикации специалистов отмечаются, что на основе анализа схемы атаки были разработаны два способа защиты, соответствующие рекомендации были переданы представителям компании Toyota. Также удалось добиться занесения уязвимости в официальный каталог с идентификатором CVE-2023-29389.





Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: