Das Hacken moderner Autos

Wenn Sie regelmäßig unser Blog lesen, wissen Sie wahrscheinlich bereits, dass es absolut möglich ist, moderne Autos zu hacken. Auch ich habe schon im Jahr 2010 einen Artikel basierend auf einer oft zitierten Forschungsarbeit der Universitäten von Wisconsin und San Diego geschrieben.Das einzige Problem ist natürlich, dass diese Forschungsarbeit schon drei Jahre alt ist. Doch glücklicherweise hat Dr. Charlie Miller, der berühmte Apple-Hacker und respektierte Sicherheitsforscher, zusammen mit Chris Valasek, dem Chef der Sicherheitsabteilung von IOActive, einen aktuellen Vortrag zum Hacken von Autos gehalten. Das war auf der Def Con Security Conference, die einen Tag nach der Black Hat in Las Vegas startete.

Zudem ist die Forschungsarbeit von Valasek und Millerweitaus umfassender als die ältere Arbeit – der Forschungsbericht umfasst über 100 Seiten. Miller und Valasek beschreiben im Gegensatz zu den Forschern der Universitäten genau die verwendeten Autos. Valasek und Miller haben alles rund um die Forschungsarbeit veröffentlicht: Details zu den Exploits sowie die von den Computern der Autos zur Kommunikation verwendeten Codes und wie man diese Computer überwinden oder austricksen kann, die Bauart der Onboard-Computer und wie diese im Netzerk verbunden sind, und noch viel mehr. Darüber hinaus sind die Forscher mit einem der gehackten Autos auch für eine Testfahrt auf die Straße gefahren: Der Forbes-Reporter Andy Greenberg saß sichtlich gestresst am Steuer, die beiden Forscher kicherten auf dem Rücksitz, während sie das Auto aktiv manipulierten.

Doch bevor wir zu all dem Spaß kommen, eine kurze Erklärung zu Autos und den dort eingebauten Computern: Moderne Autos enthalten kleine Computer – so gennante Electrical Control Units (ECUs). Die Zahl der ECUs in modernen Autos ist unterschiedlich, doch manche Autos enthalten bis zu fünfzig solcher kleinen Computer. Die ECUs dienen zahlreichen Zwecken. In den Autos von Miller und Valasek kontrollierten, überwachten oder regulierten die einzelnen ECUs alles Mögliche – vom Motor über die Elektrik, die Lenkung, das Antiblockiersystem, die Sitzgurte, die Airbags, den Parkassistenten, die Anzeigesysteme bis zu vielen weitern Komponenten, von denen ich noch nie gehört habe. Fast alle dieser ECUs sind über einen CAN-Bus (Controller Area Network) miteinander verbunden. Der CAN-Bus und die ECUs sind sozusagen das zentrale Nervensystem des modernen Fahrzeugs. Sie kommunizieren miteinander, um die Fahrgeschwindigkeit und Motordrehzahl weiterzugeben, oder das Kollisionssystem zu informieren, kurz bevor ein Unfall passiert, so dass die Bremsen ausgelöst werden, der Motor abgestellt wird, die Sitzgurte gestrafft werden und was sonst noch gemacht wird, wenn ein Auffahrunfall bevorsteht. Die meisten dieser Signale werden von Sensoren ausgelöst, die in die ECUs eingebaut sind.

Valasek und Miller haben übrigens mit einem Ford Escape und einemToyota Prius(beide Baujahr 2010) gearbeitet, doch die Forschungsergebnisse sind im Grunde auf viele andere Hersteller und Modelle anwendbar – praktisch und theoretisch.

Die Forscher haben ein relativ billiges ECOM-Kabel gekauft, das an ein ECOM-Gerät angeschlossen wird, das über den USB-Anschluss an einen Windows-Computer angeschlossen werden kann. Mit einigen Änderungen konnten sie das andere Ende des Kabels am OBD-II-Anschluss der Autos anschließen (der OBD-II-Anschluss ist das Ding unter dem Lenkrad, über das die Mechaniker bei einer Inspektion mit Ihrem Auto kommunizieren – hier wird ein Diagnosegerät angeschlossen, um Motor-Codes zurückzusetzen, die Motorkontrollleuchte auszuschalten usw.). Nachdem der Anschluss hergestellt war, konnten die Forscher beobachten, wie die ECUs entlang des CAN-Busses miteinander kommunizieren, und wie diese Kommunikation den Betrieb der beiden Autos beeinflusste. Schließlich bekamen sie ein tiefes Verständnis für die Kommunikations-Protokolle, und konnten beginnen, diese zu fälschen (sie injizierten ihre eigenen Signale, um die Signale der einzelnen ECUs auf dem CAN-Bus der Autos zu imitieren).

Je nachdem, mit welchem Auto sie gerade arbeiteten, konnten die Forscher die Fahrzeuge dazu bringen, unterschiedliche Dinge zu tun. Ich werde mich hier auf die interessantesten beschränken – wenn Sie mehr wissen möchten, können Sie den kompletten Report lesen.

Die Forscher haben herausgefunden, dass sie den Tacho, den Kilometerstand und die Tankanzeige manipulieren konnten. Im Fall des Tachos haben sie herausgefunden, dass das ECU, das die Geschwindigkeit des Autos misst, laufend Signale über den CAN-Bus an das ECU sendet, das die Anzeigen kontrolliert. Um den Tacho dazu zu bringen, das gefälschte Geschwindigkeitssignal zu glauben, mussten die Forscher mehr gefälschte Signale an die Anzeigen schicken, als das Geschwindigkeits-ECU normalerweise schickt. Als sie das richtige Maß der versendeten Signale herausgefunden hatten, konnten sie den Tacho dazu bringen, jede beliebige Geschwindigkeit anzuzeigen.

Die Türen des Prius konnten auf- und zugesperrt werden. Die Schlösser konnten physikalisch beeinflusst werden – das bedeutet, dass die Forscher zwar niemanden im Auto einsperren, aber dafür von außen in das Auto eindringen konnten, indem sie es einfach „aufsperrten“.

Beim Ford starteten sie eine Denial-Of-Service-Attacke auf die für die Steuerung verantwortliche ECU, die sie mit Daten-Traffic vom CAN-Bus überfluteten.Dadurch schaltete sich die Steuerung ab und beschränkte den Lenkungsradius des Fahrzeugs auf 45 Prozent der eigentlichen Leistung. Sie fanden auch heraus, dass sie den Parkassistenten manipulieren konnten (in diesem Fall die ECU, die die automatischen Park-Funktionen kontrolliert). Allerdings muss man dazusagen, dass sich der Parkassistent nur bei sehr niedrigen Geschwindigkeiten einschaltet, so dass das Schlimmste, das die Forscher damit tun könnten, wäre, das Auto dazu zu bringen, beim Einparken an ein anderes Auto anzufahren.

Die Forscher spielten auch am Lenkungsassistenten des Prius herum. Die ECUs im Prius wurden ursprünglich so eingestellt, dass der Parkassistent nur im Rückwärtsgang und bei Geschwindigkeiten unter vier Meilen funktioniert. Also täuschten Valasek und Miller dem Wagen vor, dass er im Rückwärtsgang fährt, obwohl er in Wirklichkeit vorwärts fuhr. Zudem gaukelten sie dem Auto vor, dass es langsamer als vier Meilen fährt, obwohl es eigentlich viel schneller unterwegs war. Sie konnten die Lenkung nicht so präzise bewegen wie der Parkassistent, schafften es aber, das Lenkrad mit scharfem, sporadischem Rucken in die ein oder andere Richtung zu drehen.

Der Prius hat auch einen Spurassistenten, der das Auto in der Fahrspur halten kann, wenn festgestellt wird, dass der Fahrer von der Straße abkommt. Die dafür verantwortliche ECU erlaubt das automatische Drehen des Lenkrads nur bis zu fünf Grad. Die Forscher konnten aber auch diese Funktion übernehmen. Während eine Drehung um fünf Grad eigentlich nur einen relativ kleinen Richtungswechsel auslöst, merken die Forscher an, dass diese Drehung bei hohen Geschwindigkeiten im fließenden Verkehr oder auf engen Straßen doch recht signifikant ist.

Beim Ford ist es möglich, einen Befehl an den CAN-Bus zu senden, der das Auto dazu bringt, die Bremsen zu entlüften. Gleichzeitig ist es nicht möglich, das Auto zu stoppen. Diese Brems-Attacke funktioniert nur, wenn das Auto langsamer als 5 Meilen pro Stunde fährt. Das ist recht langsam, war aber immer noch schnell genug für einen der Forscher, den Ford Escape beim Test in seine Garagenwand zu fahren.

Der CAN-Bus des Fords kann eine Nachricht versenden, um im Motor einen oder mehrere Kolben abzuschalten. Valasek und Miller haben diese Nachricht per Reverse Engineering entschlüsselt und pausenlos versendet. Das Auto konnte nicht mehr gestartet werden, solange sie den Versand dieses Codes nicht beendeten. Der Prius ist ebenso anfällig für das Abschalten des Motors, allerdings über eine andere – wenn auch etwas ähnliche – Technik.

Sie haben auch ein Kommando entdeckt, das beim Ford alle Lichter innen und außen am Auto abschalten kann. Die entsprechende ECU hört nur auf diesen Befehl, wenn sich das Auto nicht bewegt, doch wenn die Forscher den Befehl sendeten, während das Auto stand, funktionierte die Lichtabschaltung anschließend auch während des Fahrens. Damit schalteten sie alle Lichter ab, so dass sie den Wagen ohne Bremslichter auch auf der Autobahn hätten fahren können. Und sobald sie das Auto in die Parkstellung gebracht hatten, brachten sie es nicht wieder aus dem Parkzustand – wahrscheinlich, weil die hier tätige ECU auch die Handbremse kontrolliert, die es erlaubt, das Auto aus dem Parkzustand zu holen. Beim Prius konnten sie auch die Scheinwerfer beeinflussen, und diese ein- und ausschalten. Allerdings nur, wenn der Fahrer die Scheinwerfer auf „Automatik“ eingestellt hat, so dass die Scheinwerfer abhängig vom Tageslicht ein oder ausgeschaltet werden.

Während sie mit dem Tempomat des Prius herumspielten, schafften es die Forscher nicht, das Auto bei eingeschaltetem Tempomat zu beschleunigen. Allerdings schafften sie es, das Auto dazu zu bringen, langsamer zu werden und sogar ganz stehen zu bleiben, indem sie das Kollisionssystem glauben machten, dass das Auto auf ein Objekt zufährt und kurz vor dem Aufprall steht. Selbst wenn der Fahrer das Gaspedal durchdrückt, würde das Fahrzeug weiterhin bremsen. Um den Prius ohne eingeschalteten Tempomat zu beschleunigen, mussten die Forscher ihr ECOM-Kabel modifizieren und direkt an die Power-Management-Konsole (die ECU, die die Beschleunigung des Autos kontrolliert) anschließen, da diese nicht mit dem CAN-Bus verbunden ist. Sie schafften es nur für wenige Sekunden nachdem der Fahrer das Gaspedal losgelassen hatte, das Auto zum Beschleunigen zu bringen. Dennoch kann so eine unerwünschte Beschleunigung potenziell gefährlich sein.

Ein andere Funktion des Kollisionssystems ist es, die Motoren der Sicherheitsgurte einzuschalten, so dass diese sich vor einem Aufprall straffen. Valasek und Miller konnten das aber veranlassen, wann immer sie wollten.

Die Forscher sprachen auch ausführlich über die Möglichkeit, Code in die ECUs und dann den CAN-Bus einzuführen (um sie zum Beispiel mit Schadprogrammen zu infizieren). Ich möchte hier nicht zu tief in die Details einsteigen, kann aber sagen, dass es natürlich möglich ist, auf diesen Maschinen eigenen Code einzuführen und zu starten (es ist sogar so gut möglich, dass dafür die letzten 20 oder 30 Seiten des Forschungsbericht reserviert sind).

Es gibt aber auch eine offensichtliche Verteidigungsmaßnahme, um sicherzustellen, dass Ihr Auto nicht gehackt werden kann: kaufen Sie ein richtig altes Auto. Das funktioniert zwar, aber ich muss ehrlich sagen, dass Ihr hackbarer 2013er Nissan Maxima viel sicherer ist als mein unhackbarer 1998er Honda Accord. Ihr hackbares Auto hat alle möglichen, wilden Sicherheitsfunktionen und Sensoren, die Ihnen mitteilen, wenn etwas schiefläuft – und zwar bevor Sie losfahren. Bei meinem alten Auto ist das jedesmal ein Glücksspiel.

Die Wahrheit ist, dass Miller und Valasek zwei der intelligentesten Menschen der Sicherheitsindustrie sind. Ihr Job ist es, Dinge zu hacken. Und sie hacken Dinge, da sie die Welt der miteinander verbundenen Dinge sicherer machen möchten. Abgesehen davon, dass der Forschungsbericht alle Codes und Techniken enthält, die man benötigt, um genau das zu tun, was die beiden gemacht haben, gehören Miller und Valasek dennoch weltweit zu den einzigenMenschenmit dem technischen Wissen für solche komplizierten Angriffe. Und wenn das Ihre Ängste nicht mildert, sollten Sie wissen, dass die Auto-Hersteller – wie auch Technologiefirmen – solche Forschungsarbeiten genau lesen und ihre Fahrzeuge dahingehend verbesseren.

Noch ein Tipp: Wenn Sie das Video, in dem Andy Greenberg den Toyota Prius fährt, den Valasek und Miller während der Fahrt hacken, sehen möchten, finden Sie dieses auf derForbes-Website. Ich verspreche Ihnen, das Sie Spaß haben werden.