Diebe stehlen Autos in Minuten: Die Schwachstelle ist der Scheinwerfer

diebe stehlen autos in minuten: die schwachstelle ist der scheinwerfer

Autodiebe haben eine neue Technik gefunden, mit der sie Autos in wenigen Minuten klauen können.

Canis Automotive Labs, ein Dienstleister für Sicherheitstechnologien in Fahrzeugen, hat in einem Blogbeitrag eine Hightech-Diebstahlmasche aufgedeckt. Hintergrund war ein Tweet des Cybersecurity-Beraters Ian Tabor: Auf der Kurznachrichtenplattform Twitter ärgerte sich Tabor im vergangenen Jahr darüber, dass Vandalen sich an seinem Auto zu schaffen gemacht haben. Unbekannte hatten den Scheinwerfer ausgebaut und ein paar Kabel abgerissen.

Tabor verbuchte den Zwischenfall als ärgerliche, aber unbegründete Zerstörungswut. Drei Monate später machten sich erneut Unbekannte an seinem Toyota RAV4 zu schaffen – diesmal rissen sie die Stoßstange ab und klemmten einen Scheinwerfer ab. Ein paar Tage später war der Wagen jedoch verschwunden. Offenbar hatte der abgerissene Scheinwerfer den Diebstahl erst ermöglicht.

Autodiebe nutzen den CAN-Bus

Nachdem auch das Fahrzeug von Tabors Nachbarn gestohlen wurde, stellte der Sicherheitsexperte weitere Nachforschungen an. Das Telematiksystem des Toyota, welches unter anderem Diagnosedaten an den Hersteller sendet, verzeichnete viele Fehlermeldungen unterschiedlicher Fahrzeugsysteme zum Zeitpunkt des Diebstahls.

Laut Canis Automotive Labs legen diese Fehlermeldungen nahe, dass die Diebe den CAN-Bus des Fahrzeugs verwendeten, um es öffnen und wegfahren zu können. Bei seinen Nachforschungen stieß Tabor auf ein Gerät, das im Internet als “Notstartsystem” zum Preis von bis zu 5.000 Euro angeboten wird. Das System sieht von außen aus wie ein gewöhnlicher Bluetooth-Lautsprecher, enthält aber veränderte Technik und soll verschiedene Fahrzeuge bestimmter Hersteller öffnen können. Das Technikportal Golem erklärt die Funktionsweise: Im Inneren des unauffälligen Geräts befinden sich ein PIC-Mikrocontroller, CAN-Transceiver und eine kleine Schaltung. Die Schaltung dient offenbar dazu, andere Geräte im Fahrzeug, die am gleichen Bus (ein System zur Datenübertragung, Anm. d. Red.) hängen, ruhigzustellen. Dann ‘weckt’ der Mikrocontroller die schlafende Elektronik des Fahrzeugs, das Gerät sendet gefälschte Nachrichten, die angeblich vom Schließsystem des Fahrzeugs stammen, entriegelt so die Wegfahrsperre und öffnet die Türen.

Ein Bericht des US-Nachrichtenportals Vice zeigt außerdem auf, dass es nicht unbedingt umgebaute Bluetooth-Boxen sein müssen, die Fahrzeuge öffnen können: Vice hatte ein YouTube-Video entdeckt, das zeigt, wie eine Person am Steuer eines Toyotas ein altes Nokia 3310 benutzt, um den Wagen zu starten. In dem Video ist zu sehen, wie sich der Wagen zunächst nicht starten lässt. Daraufhin holt die Person das alte Nokia-Handy hervor, schließt es über ein Kabel an das Auto an, blättert durch einige Optionen auf dem Handy und erhält einige Sekunden später die Info “CONNECT. GET DATA.”, woraufhin sich der Wagen ohne Probleme starten lässt. Der Vorgang nimmt weniger als 30 Sekunden in Anspruch.

Die Technik werde laut Vice auf verschiedenen Websites und in Telegram-Kanälen für Preise zwischen 2.500 Euro und 18.000 Euro angeboten. Oft bezeichnen die Verkäufer die Technik demnach euphemistisch als “Notstart”-Geräte, die eigentlich für Schlüsseldienste gedacht sind.

Lösung könnte “Null-Vertrauens-Ansatzes” für Steuergeräte sein

Autobauer ergreifen natürlich Maßnahmen, um das Ausnutzen solcher elektronischer Schwachstellen zu verhindern oder zu erschweren. Über den CAN-Bus versendete Kommandos sind jedoch meistens nur wenige Byte groß und undokumentiert, ihre Echtheit lässt sich also nur schwer vom Fahrzeug prüfen. Die Kommandos unterscheiden sich zwar von Hersteller zu Hersteller, aber wenn sie lang genug verwendet werden bzw. Fahrzeuge, die die Kommandos verwenden, lang genug im Umlauf sind, können sie entschlüsselt und ‘nachgebaut’ werden. Autodiebe benötigen dann nur noch einen Zugang zum jeweiligen CAN-Bus – beim Toyota RAV4 befindet sich dieser offenbar im oder hinter dem Scheinwerfer.

Ken Tindell von Canis Automotive Labs schlägt zwei Lösungswege vor: Ein “schneller und unordentlicher” Lösungsweg sei es, den CAN-Controller über das Gateway-Steuergerät oder das Steuergerät der Wegfahrsperre überwachen zu lassen, um zu sehen, ob verdächtige Fehler auftreten. Dabei könne man die Maxime anlegen: “Einmal ist Zufall, zweimal ist Zufall, und dreimal ist eine feindliche Aktion”.

Die ordentliche, aber weitaus aufwendigere Lösung sei die Einführung eines “Null-Vertrauens-Ansatzes”. Dieser bedeutet, dass ein Steuergerät nicht automatisch Nachrichten von anderen Steuergeräten vertraut. Stattdessen sollen bestimmte Authentifizierungsmechanismen eingeführt werden, mit denen Steuergeräte die Echtheit von CAN-Meldungen überprüfen können. Bei Serienfahrzeugen, die bereits auf den Straßen sind, ließe sich diese Lösung im Gegensatz zur ersten Lösung aber leider nicht ohne Weiteres nachrüsten.