車がどのように盗まれたか、そしてハイテク車の盗難ウイルスがどのように発見されたかについての探偵の報告です。 ツイートから始まります。 2022 年 4 月、私の友人 Ian Tabor は、破壊者が彼の車に侵入し、ヘッドライトをバラバラにしてケーブルを抜いたとツイートしました
無意味な荒らしの宝物のように見えた. それから3ヶ月後、またもやりました
今度はバンパーが外れましたそしてヘッドライトが外れました。 しかし、数日後の結果として、どちらの事件も破壊行為にはならなかったことが判明しました:
その車はとっくの昔になくなった。 そして、ヘッドライトが盗まれた様子が宝物のようです。 Ian は自動車生活のサイバーセキュリティ研究者であり、以前に車の脆弱性を突き止めたことでトロイの木馬の報奨金を授与されたことがあります。私は彼のツイートを調べて、これがトロフィーのハッキングである可能性があると財団が信じています。 しかし、今ではそうではありません。イアンの隣人は、トヨタ ランドクルーザーを盗まれました。 イアンにとってここは私的なもので、彼は正確な どのように 車を盗んだのか知りたがっています。 結局のところ、エンジンイモビライザーを含む洗練されたカーセキュリティシステムを購入しました. 彼らはどのようにしてこれらの自動車を追い払ったのでしょうか?
イアンは、トヨタ自動車の形に統合された「MyT」テレマティクス マシンから始めて、いくつかの追加の調査を行いました。 自動車のコマーシャルは、何十年もの間、自動車に組み込みの診断システムを追加してきました。 これは「オンボード診断」 (または OBD で迅速に) と呼ばれ、電子ヘルプがユニットの時計 (またはECU) が故障を検出し、データにコードを記録します。 コマーシャルでは、「DTC を落とす」(または Diagnostic Anxiety Code) と呼ばれています。 MyT マシンはトヨタのサーバーと同じ量の DTC を送信し、MyT アプリはそれらに入札できます
これらは、検出された障害が何であり、いつ発生したかを示すコードです。 一部の DTC は「フリーズ フレーム」を具現化します。これは、ワークショップの整備士が故障を診断しようとするのを待つために、故障時の一連のセンサー記録データです (車の駆け落ち、外気温、バッテリー電圧、おおよそのコンポーネント)。 通常とは異なる自動車では、ECU は通信リンクに沿って接続され、CAN バス (CAN は Controller Command Community の略) と呼ばれるプロトコルで動作します。 )))。 それは 30 年以上前に発明されたもので、今日では自動車よりも弱いものです。ボート、農機具、航空機、建設機械、さらには宇宙船にさえ組み込まれています (現在、火星を正確に周回する CAN バスがあります)。 ECU が障害を診断する方法の 1 つは、検査したい他の 1 つの ECU から応答がない場合です。 : CAN メッセージが慣習的に購入されていない場合、残りのメッセージが聞こえないまましばらくすると、リスナーは CAN バスまたは別の ECU に障害があると想定します。 そしてめったに、CAN バスが故障したことが明らかな場合: ECU の豪華なメッセージが送信されなくなった場合、または CAN バス インターフェイス ハードウェアがダイアログが間違って配置されたと言っている場合.
それは車の盗難の前後に、イアンの車はたくさんのDTCを落としていたことが判明しました.
RAV4のエントランスには、ライト(ハイビーム、ロービーム、ウインカー)を制御するECUがある場合があります。 ほとんどの自動車には、提案されたライトへの簡単な切り替えがあった日が長い間過ぎ去ったという理由で、そのようなECUが存在する可能性があります。バッグ、ライトは補正するために回されます)、コーナーを照らすステアリングヘッドライト、ライトが故障したかどうかをロボットで検出する、ライトに水を噴霧するための提案されたポンプなど。 さらに、RAV4 では、グリッド内のどの LED を点灯させるかを決定することで、対向車のドライバーを眩惑させず、通りの残りの部分に光を集めることができます.
DTC は、ライト変更ECUとの対話が見当違いになりました。 泥棒がケーブルを引き抜いたので、これは大したことではありません。 しかし、DTC はさらに、何百ものシステムが故障したことを確認しました。入口カメラの変更、ハイブリッド エンジンの変更マシンなどです。 それはどうしてでしょうか? これが次の手がかりになりました。ECU が故障したのではなく、ECU へのダイアログが間違っていた可能性があり、診断によってこれが故障としてフラグ付けされたのです。 承認されたコンポーネント: CAN バス。
Ian は、暗い Web サイト、自動車をつかむ方法に関する簡単なヒントについて話している Web サイト、ボードを探し回った Web サイト、YouTube の映画を見つけた Web サイトについて、さらに調査を行いました。車の盗難。 彼は、偽のキー フォブのプログラミングから「緊急用」ガジェットまで、車のセキュリティを回避するための 100 を超える商品を宣伝するウェブ リビングを追跡しました
承認された所有者にとっては、費用は非常に高額 (5000 ユーロにもなる) ですが、自動車泥棒の一団にとっては、ここに資金があります。 Jeep、Maserati、Honda、Renault、Jaguar、Fiat、Peugeot、Nissan、Ford、BMW、Volkswagen、Chrysler、Cadillac、GMC、Toyota など、多くのカーデバイスに焦点を当てた商品があります。
トヨタの場合、「緊急発信」マシンは、JBL Bluetooth スピーカー ケース内に隠されている電子機器です。 これは、泥棒にもっともらしい否定を提示します。警察に止められた場合、彼らは目立つ自動車盗難装置を持っていると信じていませんが、無害な楽器を宝物にしているように見えます。 キャッチ リビングには、盗難装置によって「サポートされている」自動車のデバイスがリストされています。ES、LC、LS、NX、RX を含むレクサス デバイスと、GR スープラ、プリウス、ハイランダー、ランド クルーザー、および RAV4 を含むトヨタ デバイスです。 イアンは自動車科学捜査会社の ノエル・ロウドン ハーパー・ショー
と話し合いました。 この楽器について、リバース エンジニアリングを行うために理解しようと決心しました。 この時点で、私は計測器が CAN バス上でどのように動作するかを待つように呼ばれるようになりました.
Ian は私を CAN グルと呼んでいます: 私は Volvo と協力して最初の CAN ベースを開発しました。ほとんどが車のプラットフォームであり、自動車の脆弱なチップ用の最初の低評価の CAN ハードウェアを設計した. CAN ネットワーキング マシンに対する賞 (私のオリジナルは後に Bosch に売却され、今日は車載アプリケーション機能に対する Bosch の ETAS コミュニティの活発な割り当てです)。
これ以上うろうろする前に、免責事項を作成する必要があります。このアカウントは、今後、その不正なプリントに入札することはありません。個人が盗難手段の複製を維持することをより簡単にします。 作成者は犯罪者であり、私もイアンも、これらのアメリカ人を待つつもりはありません。 このアカウントを伝える目的は、法執行機関と自動車メーカーがこれらのガジェットについて何かを製造するのを待つことです (最後に、自動車メーカーとそのサプライヤーが ECU アプリケーションを変更して泥棒を倒すことができる多くの方法を紹介します)。 ここで強調したいのは、もはやトヨタに特有のものではないということです。イアンは盗まれた車が RAV4 になった結果、RAV4 を調べました。また、他のメーカーも同じ方法で盗まれる車載デバイスを所有しています。 新しい盗難手法: CAN インジェクション
車と通信し、暗号化メッセージを交換する素晴らしいキーを使用することで、自動車が盗難を防ぐことができるのと同じように、主に重要なものが車に役立つことを証明します。 このメッセージの筋書きは常に現実のものであると考えられており、かなりの情報源 (国家のスコークが持つ最も生産的な形式) がなければ破られないかもしれません。 しかし、泥棒は骨の折れる割り当てを攻撃しません。彼らは弱点を見つけて、それを回避します。 以前は、これは リレー アタック で行われていました。 全体として、車は主にバイタルに無線で露出するように要求し、無線で促す実際のメッセージを受信すると、車のロックを解除し、エンジンのイモビライザーを無効にします。 泥棒は、これを回避する簡単な方法を発見しました。彼らは、車のメッセージをキーが保存されている住居に向けて送信し、キーからのメッセージを車に中継するハンドヘルド ラジオ リレー オンライン ページを弱体化させます。 車は、リレーされたメッセージを本物として受け入れます。これは、有効なキーが車のロックを解除するのに弱かったためです。 これで、リレー攻撃が一般的にどのように機能し、それを打ち負かす可能性が最も高いかがわかった.ちょっとの間(そして、車からの無線メッセージを受信しませんでした)。 この敗北に直面したものの、利益を生む活動をやめたくないという泥棒は、セキュリティに関してまったく新しい方法に移行しました。 彼らはこれを真新しい攻撃で製造します: CAN インジェクション.
下の設計図が明らかにしますRAV4 の ECU が CAN バスに沿ってどのように配線されているか (これは実際には単純化された設計図であり、すべての ECU または CAN バスに入札するわけではありません)
検証済みの 3 つの CAN バスがあります:
オルタ CAN バス (ヘッドライト、ドア オルタ、テレマティクス、エアコン、その他多数の ECU を備えています。)
- パワートレイン CAN バス (エンジン変更用の ECU、ハイブリッドバッテリー、モーターオルタ他多数)
CAN インジェクションが機能する方法は、車の内部ダイアログ (つまり、CAN バス) に侵入し、素晴らしいキー レシーバーからのように偽のメッセージを挿入することです。 、「キーが検証されました、イモビライザーのロックを解除します」という疑いのないメッセージ。 今日、通りに出回っているほとんどの自動車では、これらの内なるメッセージは機能していません。受信者は単にそれらを信じているだけです。 上記の配線の設計図から、RAV4 でどのように機能するかを宣言することもできます。泥棒は、赤い CAN バスの配線に損傷を与えます (黄色で証明された素晴らしいキー レシーバー ECU が多く接続されています)。次に、単純なデジタル機器を実行して、赤い CAN バスに CAN フレームを送信し、あたかも素晴らしいキー レシーバーから送信されたかのように、偽の「Secret’s Validated」メッセージを送信します。 ゲートウェイECU(正確なCANメッセージを前後に正確にコピーする単純な機器)は、その誤ったメッセージを経験の浅いCANバスに複製し、エンジン変更マシン(青色で証明されています)がメッセージを取得し、イモビライザーの特性を無効にします.
泥棒は、CAN インジェクター装置を使用して、さまざまな偽の CAN メッセージをドア ECU (さらに青色で証明されている) に送信することができます。 そのため、彼らは車に傷をつけて車に損傷を与えることさえしません。おそらく、ドアを始動し、侵入し、車を追い払うことができます-すべて、主に重要なことを望んでいるわけではありません.
CANインジェクション装置
以下は、イアンが提供した CAN インジェクター盗難装置が宝物のように見えるものです:
JBL Bluetooth スピーカーの宝物に見えます。 そしてその内大きく集まった(スピーカーが抜けてる)
CAN インジェクターは、JBL 回路基板に移植され、広いブロブに囲まれています。樹脂の。 Ian は樹脂を加熱ガンで溶かし、それが JBL 回路基板にどのように配線されているかを解明し、さらにはチップが何であるかを解明しました (正確なパターンが発見されるまで、ピン配置をチップと照合する方法論の演習)。
それは約 10 ドルの数式であることが判明しました: CAN ハードウェアと、チップに事前にプログラムされたアプリケーション ( と呼ばれる) で構成される PIC18F チップ固い ウェア)、CANトランシーバー (デジタル信号を変換する由緒あるCANチップ) PIC18F の CAN ハードウェアから CAN ワイヤに送信されるアナログ電圧へ)、さらに CAN トランシーバに接続された別の回路 (これについては現在補足)。 楽器はスピーカーのバッテリーから電源を取り、CAN バスに接続します。 CAN バスは基本的には 1 組のワイヤがジグザグに組み合わされたものであり、車内には多数の CAN バスが接続されており、コネクタを使用して直接接続するか、ゲートウェイ ラップトップを使用してデジタルで配線し、CAN メッセージを相互にコピーします。
盗難計器は、Splendid Key ECU になりすますために、アルター CAN バス (配線設計図の赤いバス) に接続されるように設計されています。 このCANバスのワイヤーを獲得する方法はたくさんありますが、主に最も単純な要件は、ワイヤーが車の敷居に達するように引っ張ることです。路上に駐車している車を盗もうとする泥棒が車を盗むのは現実的ではありません)。 RAV4 のその CAN バスへの最良のルートは、ヘッドライトを経由することです。バンパーを引き離し、ヘッドライト コネクタから CAN バスにアクセスします。 他のエントリの可能性が最も高い可能性があります。CAN ワイヤのジグザグ ペアが通過するパネルに隙間を開け、2 本のワイヤを切断し、CAN インジェクタで接合することでも機能しますが、その方法のギャップ 泥棒は最善のルートをつかみます(イアンの調査により、これらの自動車の大部分は輸出用であり、輸送コンテナの演習によってアフリカの地域に発送されることが判明しました).
最初に動力を与えたときオンの場合、CAN インジェクターは何もしません。特定の CAN メッセージをリッスンして、車が進んでいることを認識します。 この CAN メッセージを受信すると、次の 2 つの問題が発生します。1 秒間に約 20 回の CAN メッセージのバーストの送信を開始し、CAN トランシーバーに接続された追加の回路を促します。 CAN メッセージのバーストには「splendid key is real」タグが組み込まれており、ゲートウェイはこれを別のバス上のエンジン管理 ECU に中継します。 全体として、これは変更された CAN バスで混乱を招く可能性があります。有効な Splendid Key コントローラーからの CAN メッセージが CAN インジェクターからの偽のメッセージと衝突し、ゲートウェイが注入されたメッセージを転送しなくなる可能性があります。 ここで、さらなる回路の出番です。CAN バスの動作方法を変更して、そのバス上の他の ECU が集中できないようにします。 ゲートウェイはメッセージを聞くことができ、収集されたメッセージがパワートレインの CAN バスに送信されたことを記憶している可能性があります。 バーストは 1 秒間に 20 回繰り返されますが、これはセットアップが脆弱であるためです。また、CAN ハードウェアが自身をリセットしているために、ゲートウェイがリッスンしなくなることがあります (集中できないのはタグであると考えているため)。
JBL Bluetooth スピーカー ケースには「再生」ボタンがあり、ここに PIC18F チップが配線されています。 このボタンが押されると、CAN メッセージのバーストがわずかに変化し、ドア ECU がドアのロックを解除するように関連付けられます (ワイヤレス キーの「ロック解除」ボタンが押されたかのように)。 泥棒は、CAN インジェクターのフックを外し、車に侵入して追い払うことができます。 他の 1 人の被害者のために、この撮影オンライン ページの CCTV が存在する可能性があります (せっかちな場合は、2 分 55 秒を見てください):
変更されたCANトランシーバ
再訪しましょうCAN の動作を変更する CAN トランシーバーへの変更 (この割り当ては、CAN バスの動作方法について詳しく説明するので、自由に割り当て「CAN インジェクターを打ち負かす」にスキップしてください。ここでは、トヨタや他のメーカーがどのようにやめたかに焦点を当てています。
全体の CAN は巨大な AND ゲートとして動作し、すべてのガジェットが良否判定 1 を入力している場合、バスは良否判定 1 を読み取り、良否判定 0 を読み取ることができます。 任意の インストゥルメントは、適切な判定値 0 を入力します。これは、劣性 ディプロマ: 2 つの CAN ワイヤ H と L はそれぞれ約 2.5V であり、それらの間の不等性はゼロに終了します (ディプロマは次のように浮動しています)。劣性スコークの CAN トランシーバの結果は高インピーダンスです)。 ここでは、CAN トランシーバ有効によって判定 1 に変換されます (トランシーバの RX ピンは判定 1 を主なプロセッサ チップに組み込まれた CAN ハードウェアに出力します)。 任意の CAN コントローラはバスを ドミナント
にドライブできます 卒業証書 (連続して CAN H で約 4.5V、CAN L で 0.1V、約 4.4V の不均等)。 しかし、CAN インジェクターにはさまざまな CAN トランシーバーがあります。アクティブにリセッシブ スコークを駆動するモードがあり、バスをドミナント スコークに駆動できる他の CAN 計測器はありません (1 つの計測器は、CAN H および L 電圧を少し渡すことができます)。
Ian は、CAN インジェクター用のベンチトップ CAN バスを構築し、その電子機器を複製し、疑似 ECU を追加しました (Ian は、この能力の形: 彼は運搬可能な 「ケース内の車」エミュレータ 車のハッキング方法を指定するには弱い)。 判定アナライザーとオシロスコープは、有効な CAN バスで CAN インジェクターの結果を測定できます。 これは、CAN インジェクターがドミナント オーバーライド回路を有効にするよりも 早く CAN フレームを送信する「ECU」のスプラッシュです:
適切な判断アナライザーのヒントのトレースは次のとおりです:
INJECT-TX: CAN インジェクターの CAN コントローラーから CAN トランシーバーへの TX ピン INJECT-CS: オーバーライド イネーブル (ハイのときに有効)
ECU-TX: ECU の CAN コントローラーから ECU の CAN トランシーバーへの TX ピン CAN H および CAN L: ジグザグ ペア CAN バス上の CAN ハイ/ロー信号 (これらはアナログ信号です) ECU-RX: ECU の RX ピンECUのCANコントローラーへのCANトランシーバー
ここではすべて承認され、CAN バスは正確に動作しています。
盗難割り当ての開始時に、CAN インジェクターは CAN フレームを送信して CAN バスをウェイクします。 自動車が「オフ」に切り替えられても、実際にはオフになっているわけではありません。ECU はバイタリティの低いスリープ モードに移行し、バイタリティが著しく消費されます。 これらは、CAN バス上のフレーム (通常、ドア ECU またはワイヤレス キー ECU から送信されます) によって「起動」されます。 CAN の初期の頃、このウェイクアップは、CAN フレームの SOF (originate-of-frame) 環境である CAN バスのエッジである可能性が十分にありました。 しかし、無線干渉が CAN バスの優位性をもたらす可能性があり、自動車は目標を達成できないことが判明しました。 空港に駐車した車の所有者 (強力なレーダー スイープが CAN バスに優位性を設定する場所) は、休暇からここに到着した後、車のバッテリーが消耗したと宣言した結果、環境になりました。 現在、ウェイクアップでのスコーク・オブ・アートワークは、シングル チップ内の混合 CAN トランシーバー、バイタリティ レギュレーター、およびウェイクアップ回路: ウェイクアップ回路は最小限の CAN 適切な判断を行い、正確な CAN フレームを認識しようとします。レーダー スイープからのノイズのおかげで、もはや実際、正確な CAN フレームを精査しようとすると、もはや偽のウェイクアップはありません。
CAN インジェクターのウェイクアップ フレームは、 CANバス上の目覚めたECUからのCANフレーム。 この時点で、CAN インジェクターはドミナント オーバーライド回路を有効にしていないため、起動した ECU はその CAN フレームを送信できます。 その後、CAN インジェクターはドミナント オーバーライドを実行し、なりすましの CAN フレーム (スプーフ と呼ばれる) を定期的に送信し始めます。
ドミナントオーバーライド
劣性/優性のメカニズムは、 CAN バスの仕組み: これを使用して、次にどのフレームを収集する必要があるかを判断します (調停 と呼ばれます)。エラーのタグ付けに使用します。 CAN インジェクターのドミナント オーバーライドの主な目的は、他の CAN ガジェットの送信を阻止して、スプーフィングと有効なフレームが同時に送信されたときに衝突が発生しないようにすることです。 この衝突は、通常、CAN バス上でエラーの長時間続く「ループ」を引き起こし、基本的に、最初の CAN クイズ クイズの環境です:
CAN インジェクターが積極的にドミナント オーバーライドを有効にすると、他の CAN ガジェットがバス上で送信されるのをブロックし、スプーフィング フレームの豪華なフレームを購入した最も単純なものに強制します。 . ブロックは他のフレームを正確に終了させるのではなく、さらに CAN プロトコルのエラー メカニズムをブロックするため、他の ECU がエラーを昇格させて CAN インジェクター スプーフィング フレームを終了させることはできません。 ドミナント オーバーライド メカニズムの第 2 の目標は、CAN セキュリティ ハードウェアを打ち負かす準備ができていることです。 シリコン サプライヤ NXP には、Stinger と呼ばれる製品があることを覚えておいてください。 なりすましフレームを検出してCANエラーで破壊するセキュリティ判定機能内蔵のCANトランシーバーと思われます。 CAN-HG マシン Canis Labs はさらに、スプーフィング フレームを検出して台無しにする準備ができています。 CANエラーあり。 しかし、CANエラーごとのアプローチは、変更されたトランシーバーでCANインジェクターを打ち負かすことはできません。その結果、単一のCAN機器が優勢なスコークを信号で伝えることを防ぎます.
大気から遮断された場合、優勢なスコーク、CAN コントローラーは、CAN フレームを送信しようとしてループに陥り、表示され、後で最初からやり直すだけになる可能性があります。 これが私の2回目のCANクイズクイズ
の環境になりました、および環境を説明するための特定の CAN コントローラー (量産車では実際には決して見られない) を示しています (有効な ECU は、CAN バスに再接続しようとする方法について、さらに洗練されたネットワーク管理方法を備えている可能性があります。
下の良識ある判断アナライザーのヒントは、Ian のベンチトップ CAN バス上の「ECU」が CAN フレームで贅沢なデータを送信しようとする方法を明らかにしますが、ドミナント オーバーライドが
ヒントでは、INJECT-CS が高く、オーバーライドが有効になっています。 INJECT-TX は High であり、リセッシブ ビットです。 合計では、CAN が遅くなり、アービトレーションに入ることで他の CAN コントローラーが CAN フレームの送信を開始できます。 ECU-TX ラインは、originate-of-frame (CAN ではドミナント ビット) で始まる CAN フレームを明らかにしますが、バスを判断 0 まで駆動することはほとんどありません (ECU-RX は適切な判断 1 でスタックしています)。 、および定義されたCANエラー復元割り当て全体に適用されます(ここでは、で詳細に説明されています) 2番目のCANクイズクイズ)。 CAN H および CAN L ワイヤーの電圧は証明されており、「ECU」はこれらの電圧を非常に多く渡すことができましたが、現在では、これを CAN トランシーバー (トランシーバーの贅沢を含む) で見るには十分ではありません。ドミナント ビット (スタック判定 1 であるヒントの ECU-RX ラインで表示)。 ACK環境。 CAN フレーム内の ACK 環境は 1 ビット環境であり、フレームを購入したことのある 1 つの機器がリッスンしていることを送信機が知るには微弱です。 送信機は ACK の判断 1 (つまり、レセッシブ ビット) を送信し、通常はすべての受信機が判断 0 (つまり、ドミナント ビット) を送信して、フレーム OK を購入したためのため息をつくため、判断 0 としてそれを読み取ることを期待します。 受信者が判定 0 を送信しようとしても、判定 1 を奨励すると、CAN プロトコルはそれをエラーとして扱い、フレームを受信できません。 つまり、 RAV4 のゲートウェイ ECU は、偽装された Splendid Key ECU フレームを受信しません。 つまり、スプーフィングされたフレームは、エンジン管理マシンが宣言するパワートレイン CAN バスに転送されないということです。 それにもかかわらず、もはや有効な環境ではないことが判明しました: 結果として 1 つよりも多く CAN レシーバーが適切なメッセージを送信しています。判定0同時に、最終的にはこれをまとめて製造し、混合トランシーバー は、ドミナント オーバーライド回路を圧倒し、ドミナント スコークをバスに送り込む準備ができています。 これは単に次のヒントで見ることができるかもしれません: ここのベンチトップ CAN バスには 4 つの「ECU」があり、それらが一緒になって、バスの優勢な鳴き声と判断 0 に必要な電圧を卒業証書に渡す準備ができています。 CAN インジェクターから送信されたスプーフィング フレームの ACK 環境で。 そして、すべてのECUがCANインジェクターのなりすましフレームを受信OK.
CANインジェクター撃破
まずは合法ニュース。 CAN インジェクターが無効になる可能性があり、純粋なアプリケーションの修理で無効になる可能性があるため、既存の自動車はこの時点までである可能性があり、機械の取り付けから完全にやり直すことができます。毎回の散歩の終わりにハンドルをロックします。 修理の範囲は、
の 2 つです。 急速で汚れている。 これは、CAN インジェクターが現在どのように機能しているかの記録データに依存しており、機能を停止するような深刻な交換が発生する可能性があります。 恒久的な修理ではありません。CAN インジェクターを設計した犯罪者は、変更を加えることができます。これは、最初からやり直す可能性があります。 ただ、これは次の修理の選択時期に過ぎないかもしれません- 暗号メッセージ。 これは、暗号化と認証コードを使用して CAN フレームを保護し、CAN インジェクターが実際のなりすましフレームを作成できないようにします。 適切に実装されていれば、恒久的な修復がここにあります。 しかし、それにはいくらかの努力が必要です(現在はそれについて追加).
これらの修正は、CAN インジェクション攻撃の可能性がある車のすべてのメーカーとデバイスに適用されます (これは商用環境であり、現在はメーカーやモデルに制限されていません)。
露出時のCANインジェクターは、別のCANバスで混乱を引き起こします:バスがリセッシブになると、ECU CAN コントローラーが送信に失敗し、特定の形式の CAN エラー (ドミナントからリセッシブへのビット エラー) で失敗します。 これは非常にまれであり、継続的にハードウェア障害を示しています (ドロップされた DTC からこれを宣言する可能性が最も高いでしょう)。 ゲートウェイ ECU (またはさまざまなモデルのエンジン イモビライザー ECU) は、CAN コントローラーをビデオ表示して、これらのエラーが発生したかどうかを宣言し、Ian Fleming の格言を適用する場合があります。事故はアクシデント、三回は敵の行動」。 そのため、ゲートウェイが危険を冒さずに現在 CAN フレームを送信しており、最新の過去に CAN バスでこの形式のビット エラーが発生していなかった場合、ゲートウェイは単に最高のキー CAN フレームを最も生産的に転送するように再プログラムされる可能性があります。 「最新」の定義はほんの数秒かもしれません。これは、誤った陽性の環境を解決する可能性があります (間違いなく、珍しいが有効な障害になった場合)。
この性急で汚れた修理は、CAN インジェクターを変更することで無効になる可能性があります (方法は開示されていません)。 しかし、このCANインジェクターが今日機能する残酷な方法は、それがしばらく時間がかかることを意味します. これは、正確な修理を行うために時間をかけて自動車メーカーを選択する必要があります.
CAN インジェクション攻撃に対する正確な認識は、CAN に対して ゼロ ビリーフ 方式を採用することです。特定のCANバス上の特定のメッセージと同じくらい長くなります。 ECU が他の ECU からの信頼メッセージをロボットで受け取ることはなくなりますが、それらが役立つという何らかの証拠が必要になるゼロ ビリーフ方式の方法です。 ハードウェア安全モジュール (HSM) を実行するのが合法的な方法であり、自動車のコマーシャルは、 1 つ (Stable Hardware Extensions 、または SHE と呼ばれます)。 全体として、これはハードウェアを具現化するチップの行使を意味する可能性があり、改造はもはや行われません。 幸いなことに、HSM のアプリケーション エミュレーションが最も可能性が高く、Canis Labs は SHE HSM でそれを行っています。約 3K バイトのコードと 200 バイトの RAM が必要です。 また、対応する CAN メッセージをエンコードまたはデコードするためのアプリケーションの実行には、約 40 マイクロ秒の CPU 時間がかかります。 通常、ECU ファームウェアにはある程度の予備メモリがあり、合計 CPU 時間の約 0.05% を必要とする可能性があります。 言い換えれば、これを新しいファームウェアに簡単に適合させることを望んでいます (実際、Canis Labs は R&D 契約の下で米軍と効率的に協力して、CAN の暗号化プロットを海軍の自動車 ECU に改造していました)。
この暗号化モデルは、急いで汚れた修復よりも根本的な変更を意味します:
暗号化メッセージは、さらに CAN 帯域幅を使用して認証コードを生成します (
CryptoCAN プロット Canis Labs が考案したもので、暗号化された CAN フレームのペアを使用して、1 つの平文の CAN フレームを送信します。他の方式では、CAN フレームの半分のペイロードが使用されます)
最初の交換はもはやそうではありません最も生産的な 1 つまたは 2 つの CAN フレームが使用可能になるため (したがって、最も生産的な分または CAN バス帯域幅の合計が必要ないため)、引き受けるのに適しています。 しかし、2 つ目は、鍵の管理と配布のインフラストラクチャを構築することを必要とします (鍵を注入するための手段や、鍵を格納するデータベースを具現化する必要があるほど多くはありません)。 SHE HSM を頻繁に採用することは、これらの機器が標準化され、既製の代替選択肢が最も可能性が高いことを意図するほどではなくなりました。 それにもかかわらず、自動車メーカーは、自動車システムに変更を加える際には慎重に行動することを長年にわたって認識してきました。意図しないペナルティはありません。 だから、これを権力の座につけるのに時間がかかるかもしれません.
その後のステップ
イアンはトヨタと連絡を取り、CAN インジェクションに集中しようとしました。攻撃し、現在待機していますが、前例のない成功を収めていません。 環境のセグメントは、どの天文学会社もセキュリティ障害への対応が複雑であると感じているということです。 環境の割り当ては、これは脆弱性の開示ではないため、トヨタがオンライン ページで所有しているプロセスはもはや適切ではありません。 承認された脆弱性開示の課題は、モラル ハッカーが、犯罪者が潜在的に 悪用する可能性がある 可能性のある脆弱性を発見し、サプライヤーと連絡を取ることです。時間をかけて修理します。 これは ゼロデイ と呼ばれます (メーカーが性急に行動しなければならないため、正確なゼロデイをキャッチする可能性があります)犯罪者が悪用する前の修復)。 CAN インジェクション攻撃は、もはやゼロデイではありません。犯罪者が すでに 所有しているため、これはマイナス 365 デイの余分な宝物です。それを悪用して自動車を盗みます(そして広範囲に:キーレスの車の盗難が急増しました。法執行機関はこれらがリレー攻撃であると正確に想定しています)。 CAN インジェクション攻撃を説明することで犯罪者がそれを悪用する可能性があるため、この種のことはもはやないかもしれません: 彼らは すでに それを広く悪用し、イアンの車でそれを悪用したことが、イアンをデジタルフォレンジック探偵に変えるきっかけになりました.
これまで、Ian は RAV4 へのエントリーを獲得して、彼のベンチトップ CAN バスが CAN インジェクターの完全な習慣を正確に捉えていることを確認しようとしました。 エントリーの有効性を取得すると、有効な CAN インジェクターを機器 (オシロスコープと良識ある分析器を含む) でその場でテストできるようになります。 これは、販売者のワークショップと車への入場なしでは実行できません。攻撃により、正確に承認された機器で収集する必要がある DTC が大量に発生するためです。 エントリーを取得する可能性は、これまでほとんどありませんでした。 CAN インジェクション攻撃で稼ぎたい自動車メーカーや商業体は、自由に接触して稼ぐことができるはずです.
ファームウェアリバースエンジニアリング
CAN インジェクターがどのように機能するかを完全に分析すると、そのファームウェアのリバース エンジニアリングが具体化されます。 CAN インジェクター内の PIC18F の脆弱性は、ファームウェアが読み取られないようにロックされていますが、そのロックを損傷する方法は 2 つもありません。 とはいえ、どちらも機器を破壊する危険を冒さずに行うことはできず、いずれにしても高価な専門機器への参入が必要です。 これは初心者の調査を通り越しており、正確な情報源が必要です。 理想的には、自動車のセキュリティに専念する商業的な体格がベンチャーをつかみ、泥棒がCANインジェクションの実行であることにラベルを付け、主にそれらを打ち負かす最も賢明な方法を採用する自動車メーカーの好奇心のポイントに変わる.
