Los estafadores roban autos usando ataques de inyección CAN sin llave previamente desconocidos – Ars Technica

Cuando un hombre de Londres descubrió que el parachoques delantero izquierdo de su Toyota RAV4 estaba arrancado y el faro parcialmente desmantelado no una, sino dos veces en tres meses el año pasado, sospechó que los actos eran vandalismo sin sentido. Cuando el vehículo desapareció unos días después del segundo incidente y un vecino descubrió que faltaba su Toyota Land Cruiser poco después, descubrió que formaban parte de una nueva técnica elegante para realizar robos sin llave.

El propietario, Ian Tabor, es un investigador de ciberseguridad que se especializa en automóviles. Mientras investigaba cómo se llevaron su RAV4, se encontró con una nueva técnica llamada ataques de inyección CAN.

El caso del CAN defectuoso

Tabor comenzó observando el sistema telemático “MyT” que utiliza Toyota para rastrear las fallas del vehículo conocidas como DTC (Códigos de diagnóstico de problemas). Resultó que su vehículo había almacenado numerosos DTC en el momento del robo.

Los códigos de error mostraron que se perdió la comunicación entre el CAN del RAV4, abreviatura de Controlador de Red de Zona– y la centralita electrónica de control de faros. Estas ECU, como se abrevian, se encuentran en prácticamente todos los vehículos modernos y se utilizan para controlar una gran variedad de funciones, incluidos los limpiaparabrisas, los frenos, las luces individuales y el motor. Además de controlar los componentes, las ECU envían mensajes de estado a través de CAN para mantener informadas a otras ECU sobre las condiciones actuales.

Este diagrama traza la topología CAN para el RAV4:

Los DTC que mostraban que el faro izquierdo del RAV4 había perdido el contacto con el CAN no fueron particularmente sorprendentes, dado que los ladrones habían arrancado los cables que lo conectaban. Más revelador fue el fallo simultáneo de muchas otras ECU, incluidas las de las cámaras frontales y el control del motor híbrido. En conjunto, estas fallas sugirieron no que las ECU habían fallado, sino que el bus CAN había funcionado mal. Esto envió a Taber a buscar una explicación.

El investigador y la víctima del robo luego recurrieron a los foros de delitos de la web oscura y a los videos de YouTube que explican cómo robar autos. Eventualmente encontró anuncios de lo que estaban etiquetados como dispositivos de “arranque de emergencia”. Aparentemente, estos dispositivos fueron diseñados para ser utilizados por propietarios o cerrajeros cuando no se dispone de una llave, pero nada impedía su uso por parte de nadie, incluidos los ladrones. Taber compró un dispositivo anunciado para arrancar varios vehículos de Lexus y Toyota, incluido el RAV4. Luego realizó ingeniería inversa y, con la ayuda de su amigo y colega experto en seguridad automotriz Ken Tindell, descubrió cómo funcionaba en el CAN del RAV4.

Dentro de este altavoz JBL se esconde una nueva forma de ataque

La búsqueda reveló una forma de robo de vehículos sin llave que ninguno de los investigadores había visto antes. En el pasado, los ladrones tenían éxito usando lo que se llama un ataque de relevo. Estos trucos amplifican la señal entre el automóvil y el control remoto de entrada sin llave que se usa para desbloquearlo y encenderlo. Los controles remotos sin llave generalmente solo se comunican a distancias de unos pocos pies. Al colocar un dispositivo de radio portátil simple cerca del vehículo, los ladrones amplifican el mensaje normalmente débil que envían los automóviles. Con suficiente amplificación, los mensajes llegan a la casa u oficina cercana donde se encuentra el llavero. Cuando el mando a distancia responde con el mensaje criptográfico que desbloquea y enciende el vehículo, el repetidor del ladrón lo transmite al automóvil. Con eso, el ladrón se va.

“Ahora que la gente sabe cómo funciona un ataque de retransmisión… los dueños de autos guardan sus llaves en una caja de metal (bloqueando el mensaje de radio del auto) y algunos fabricantes de autos ahora suministran llaves que se duermen si se quedan quietas por unos minutos (y por lo tanto no recibirá el mensaje de radio del auto)”, escribió Tindell en un reciente trabajo. “Ante esta derrota, pero sin querer renunciar a un negocio lucrativo, los ladrones optaron por una nueva forma de eludir la seguridad: eludir todo el sistema de llave inteligente. Lo hacen con un nuevo ataque: CAN Injection.

Tindel relacionado con este videoque, según él, captura un vuelo de inyección CAN en acción.

El inyector CAN que compró Tabor estaba disfrazado como un altavoz Bluetooth JBL. Esto da cobertura a los ladrones en caso de que la policía u otras personas sospechen. En lugar de usar un dispositivo de piratería obvio, el estafador parece poseer un altavoz inofensivo.

Un análisis posterior reveló que había mucho más. Específicamente, había chips de inyección CAN injertados en la placa de circuito.

Tindel explicó:

Resulta ser unos $10 en componentes: un chip PIC18F que contiene hardware CAN, más software preprogramado en el chip (llamado firmware), un transceptor CAN (un chip CAN estándar que transforma las señales digitales del hardware CAN en el PIC18F en los voltajes analógicos enviados a través de los cables CAN) y circuitos adicionales conectados al transceptor CAN (más sobre esto en breve). El dispositivo se alimenta de la batería del altavoz y se conecta a un bus CAN. Un bus CAN es básicamente un par de cables trenzados entre sí, y en un automóvil hay varios buses CAN conectados entre sí, ya sea directamente con conectores o cableados digitalmente a través de una computadora de puerta de enlace que copia ciertos mensajes CAN de un lado a otro entre los buses CAN a los que está conectado. a.

La cerradura está diseñada para conectarse al bus CAN de control (el bus rojo en el diagrama de cableado) para hacerse pasar por la ECU de la llave inteligente. Hay varias formas de acceder a los cables de este bus CAN, el único requisito es que los cables deben llegar al borde del automóvil para poder alcanzarlos (los cables enterrados profundamente en el automóvil no son prácticos para los ladrones que intentan robar). un coche aparcado en la calle). Con mucho, el camino más fácil hacia este bus CAN en el RAV4 es a través de los faros: retire el parachoques y acceda al bus CAN desde el conector del faro. Otro acceso sería posible: incluso perforar un agujero en un panel donde va el par trenzado de los cables CAN, cortar ambos cables y empalmarlos en el inyector CAN también funcionaría, pero el valor disminuido de un automóvil con un agujero significa que el los ladrones toman la ruta más fácil (la investigación de Ian reveló que la mayoría de estos autos son para exportación, enviados en contenedores de envío a lugares en África).

Cuando se enciende por primera vez, el inyector CAN no hace nada: escucha un mensaje CAN particular para saber que el automóvil está listo. Cuando recibe este mensaje CAN, hace dos cosas: comienza a enviar una ráfaga de mensajes CAN (alrededor de 20 veces por segundo) y activa este circuito adicional conectado a su transceptor CAN. La ráfaga de mensajes CAN contiene una señal de “llave inteligente es válida”, y la puerta de enlace pasará esto a la ECU de administración del motor en el otro bus. Normalmente, esto causaría confusión en el bus CAN de control: los mensajes CAN del controlador de llave inteligente real entrarían en conflicto con los mensajes impostores del inyector CAN, lo que podría evitar que la puerta de enlace transmita el mensaje inyectado. Aquí es donde entra este circuito adicional: modifica el funcionamiento de un bus CAN para que las otras computadoras en este bus no puedan hablar. La puerta de enlace siempre puede escuchar mensajes y, por supuesto, siempre enviar mensajes en el bus GMP CAN. La ráfaga se repite 20 veces por segundo porque la configuración es frágil y, a veces, la puerta de enlace no escucha porque su hardware CAN se reinicia (porque cree que no poder hablar es una indicación de una falla; esto es algo así).

Hay un botón “Reproducir” en la carcasa del altavoz Bluetooth JBL, y está conectado al chip PIC18F. Cuando se presiona este botón, la ráfaga de mensajes CAN cambia ligeramente y le indican a la ECU de la puerta que desbloquee las puertas (como si se hubiera presionado el botón “desbloquear” en la llave inalámbrica). Luego, los ladrones pueden desenganchar el inyector CAN, subirse al automóvil y llevárselo.

Taber y Tindell diseñaron dos defensas que creían que podrían derrotar los ataques de inyección de CAN. Tindell dijo que informó a Toyota sobre las defensas, pero aún no ha recibido una respuesta.