Reifendruckmessung done wrong

Nach dem interessanten Artikel auf Heise über die gehackten Reifendrucksensoren habe ich mir das veröffentlichte Paper heute dann doch nochmal näher angeschaut.  In diesem sind einige weitere interessante Punkte aufgeführt.

Grundsätzlich gibt es ja zwei Arten von Systemen um dem Reifendruck zu messen. Die Passiven, die über die vorhandenen ESP-Sensorwerte auf den aktuellen Reifendruck zurückrechnen können (was ich sehr bemerkenswert finde) und zum anderen die Aktiven, bei denen ein Sensor im Reifen integriert ist. Diese senden ihre Messwerte über Funk (im Paper 315MHz) an das passende Steuergerät.

Bei der Implementierung wurde selbstverständlich nicht mitgedacht und die Kommunikation erfolgt unverschlüsselt über bestimmte Frequenzen.  Das scheint mir ein generelles Problem im Automobilbau. Es wird viel Arbeit und Geld in die Ausfallsicherheit von Systemen gesteckt nur ein elektrischer “Angreifer” wird meist nicht bedacht.

In dem Paper zeichnen sich zwei Angriffsvektoren ab:

  • jeder Sensor hat eine 32bit Identifikation, die er stets sendet, wenn er seinen Messwert mitteilt. Ob diese eindeutig ist, ist nicht klar aber man kann in jedem Fall davon ausgehen, dass das Vorkommen von zwei Fahrzeugen mit der selben Kombination aus vier Sensoren sehr unwahrscheinlich ist. Daher eignen sich die Nummern perfekt, um vorbeifahrende Autos zu tracken und deren Verhaltensmuster zu studieren.

  • zum Anderen ist es möglich, Sensornachrichten zu fälschen und an das Steuergerät zu senden. Es wurden Versuche sowohl mit verschiedenen Inhalten als auch mit verschiedenen Intervallen gemacht.

Der erste Teil ist sicherlich ein nettes Feature für paranoide Innenminister aber eigentlich interessant wird es erst bei einem aktiven Angriff. Verwunderlich ist zum Einen, dass die Werte scheinbar kaum auf Gültigkeit geprüft werden. Die Anzeige zeigt fröhlich alle Werte an, die sie so vom Sensor kommt. Außerdem gibt es ein Flag, das angibt, ob ein Alarm  vorliegt. Sobald dieser gesetzt ist wird das Warnlicht unabhängig vom tatsächlichen Wert eingeschaltet.

Durch das Fluten des Steuergeräts mit Nachrichten ließen sich außerdem einige schöne Verhaltensmuster hervorrufen. Erschreckend ist besonders, dass sie es während der Testphase offensichtlich geschafft haben, das System komplett zu deaktivieren. Wobei es für mich eher danach aussieht, dass nach gewisser Zeit tatsächlich (endlich) ein Fehler im System detektiert, ein Fehlerflag gesetzt, und auf eine Diagnose von einer Werkstatt gewartet wurde. Das wäre natürlich ärgerlich, wenn jemand das mit einem fremden Auto machen würde ;-).

Die Hardwarekosten für den Testaufbau geben sie mit 1500€ an wobei ein GNU Radio enthalten ist. Ich bin jedoch sicher, dass man das ganze auch mit wesentlich geringeren Kosten schaffen kann, wenn man das ganze ernst meint und damit in Massenproduktion gehen will.

Fazit: Macht die Autos auch gegen Hacker sicher.

The recommendations include standard reli- able software design practices and basic cryptographic recommendations.

Wenn ich wen unerkannt in seinem Auto umbringen wollte würd ich nicht die Bremsleitungen durchtrennen sondern viel lieber Spaß mit seinen Steuergeräten haben. Da ist sicherlich einiges an Potential drin :-P.