Kradzież samochodu w dwie minuty – złodzieje używają czegoś, co wygląda jak głośnik JBL!

Kolejny raz przekonujemy się, że pomysłowość złodziei samochodów nie zna granic. Praktycznie każdego roku mamy do czynienia z poszerzeniem wachlarza narzędzi, z których korzystają przestępcy. Omijającą zabezpieczenia samochodu elektronikę potrafią dla niepoznaki umieścić np. w Gameboyu lub plecaku, jednak ostatnimi czasy coraz bardziej modny robi się.. głośnik znanej firmy JBL. Używanie przedmiotów codziennego użytku ma na celu jedno – uśpić czujność właścicieli samochodów i potencjalnych świadków. Kradzież auta w dwie minuty – dlaczego złodzieje wykorzystują teraz głośniki JBL?

Kradzież samochodu w dwie minuty – coraz więcej uszkodzeń samochodów

W ostatnich kilkunastu miesiącach w całej Europie odnotowywano wzrost drobnych uszkodzeń nowych samochodów. Policjanci, którzy pojawiają się przy tego typu zdarzeniach najczęściej notują uszkodzenia bagażnika, zderzaków lub reflektorów. Według specjalistów w dziedzinie zabezpieczania samochodów przed kradzieżą, nie są to w żadnym wypadku akty wandalizmu, ale umiejętne próby kradzieży pojazdu.

Dzisiejsi złodzieje wiedzą już, że wszystkie nowe auta wyposażone są w magistralę CAN. Technologia ta na stałe zagościła w motoryzacji, przez co zmieniły się również metody działania przestępców. Teraz priorytetem jest uzyskanie dostępu do wiązki CAN, co – przy wykorzystaniu odpowiednich narzędzi – pozwala złodziejom na udaną kradzież. Dokładnie analizują oni słabe punkty samochodów, które chcą ukraść. Wiedzą np., że w przypadku Range Roverów takim miejscem jest klapa bagażnika, wykonana z delikatnego materiału kompozytowego. Wywiercenie dziury w odpowiednim miejscu pozwala uzyskać fizyczny dostęp do wiązki CAN. Podobnie jest w przypadku modeli Alfa Romeo: Giulia i Stelvio. Tu natomiast dostęp do magistrali można uzyskać demontując zamontowany z przodu pojazdu radar, który jest elementem systemu Forward Collision Warning.

Fala tego typu uszkodzeń samochodów zaprowadziła badaczy do wykrycia nowego zagrożenia dla samochodów wyposażonych w magistralę CAN. Okazało się, że nowa metoda kradzieży wykorzystuje popularny model głośnika Bluetooth marki JBL.

Kradzież samochodu w dwie minuty – nowe zagrożenie dla Toyoty RAV4

Kluczową rolę w opisaniu nowego zagrożenia, zidentyfikowanego jako CVE-2023-29389, odegrał Ian Tabor, który na co dzień pracuje jako ekspert ds. cyberbezpieczeńtwa. Prywatnie był on posiadaczem samochodu marki Toyota RAV4. W kwietniu 2022 roku doszło do kradzieży tego auta. Pewnego dnia Ian Tabor zastał nieprzyjemny widok – jego samochód został uszkodzony w – jak się później okazało – bardzo przemyślany sposób. Złodzieje zapewnili sobie dostęp do magistrali CAN demontując przedni, lewy reflektor pojazdu. Początkowo wszyscy myśleli, że uszkodzenie było po prostu aktem wandalizmu.

Kilka dni później jednak auto zniknęło. Ian Tabor uznał, że demontaż lampy nie był przypadkowy i rozpoczął prywatne śledztwo. Jego samochód był bowiem teoretycznie wyposażony w systemy bezpieczeństwa, które powinny uniemożliwić kradzież.

Na początek badacz sprawdził aplikację mobilną „MyT”, która jest obecna na telefonach bardzo wielu posiadaczy Toyot. Jest ona połączona z wbudowanym, pokładowym systemem diagnostycznym (OBD) – jeśli jednostka sterująca ECU zidentyfikuje błąd, to nadaje mu specjalny kod. Ten może zostać odczytany, ale jest też przesyłany na serwery Toyoty i może być sprawdzony za pomocą aplikacji mobilnej.

Kod ten zawiera informacje na temat tego, co zostało uszkodzone i w jakim czasie wystąpiła usterka. Niektóre kody zawierają również dane ze wszystkich czujników w momencie wystąpienia awarii – pomoże to mechanikowi zorientować się w sytuacji, kiedy auto trafi do warsztatu. Jednym ze sposobów, w jaki ECU zdiagnozuje usterkę, jest brak sygnału z innego podzespołu, z którym komputer musi stale się komunikować. Często warunkiem granicznym jest przekroczenie limitu czasu: jeśli komunikat CAN nie jest odbierany regularnie, to po pewnym czasie komputer zakłada, że ​​​​doszło do awarii podzespołu lub magistrali CAN. Czasem jest wręcz oczywiste, że to magistrala CAN uległa awarii: na przykład gdy sprzęt interfejsu magistrali CAN informuje, że komunikacja została utracona.

Kradzież samochodu w dwie minuty – jak doszło do kradzieży Toyoty RAV4?

Ian Tabor przeanalizował kody błędów zidentyfikowanych przez ECU i okazało się, że w związku z kradzieżą komputer „wyrzucił” wiele kodów. Z przodu RAV4 znajduje się ECU, które steruje światłami (światłami drogowymi i mijania oraz kierunkowskazami). Taki komputer znajdziemy w większości nowych aut. Światła są bowiem inteligentne i zawierają takie elementy, jak silniki do poziomowania reflektorów, kierowanie reflektorami w celu oświetlania zakrętów, automatyczne wykrywanie awarii świateł, włączanie pomp rozpylających wodę na światła i tak dalej. A w RAV4 można również wybrać, które diody LED mają się nie świecić, aby nie oślepiać nadjeżdżających kierowców, ale nadal oświetlać resztę drogi.

Kody DTC wykazały, że utracono komunikację z ECU sterowania oświetleniem. Nie jest to zaskakujące, skoro złodzieje wyrwali z niego kable. Ale kody DTC pokazały również, że zawiodło wiele innych systemów: sterowanie przednimi kamerami, system sterowania silnikiem hybrydowym i tak dalej. Jak to możliwe? To była kolejna wskazówka – ECU prawdopodobnie nie zawiodło, ale raczej utracono z nim komunikację, a diagnostyka oznaczyła to jako usterkę. Wspólny mianownik – magistrala CAN.

Ian kontynuował swoje śledztwo i natrafił na podejrzaną witrynę, która oferowała ponad sto różnych produktów służących do omijania samochodowych zabezpieczeń. Na stronie znajdowały się urządzenia przeznaczone do różnych marek, a ceny rozpoczynały się od mniej więcej 5000 EUR.

System, który pozwalał na „awaryjne otwieranie” Toyoty, ukryty był w obudowie głośnika JBL – oczywiście dla niepoznaki. Witryna internetowa zawiera listę modeli samochodów „obsługiwanych” przez urządzenie: Lexus, w tym modele ES, LC, LS, NX, RX i Toyota, w tym GR Supra, Prius, Highlander, Land Cruiser – i właśnie RAV4.

Kradzież samochodu w dwie minuty – inżynieria wsteczna głośnika JBL

Naprowadzony na trop Ian Tabor, po konsultacjach z firmą zajmującą się kryminalistyką pojazdów, zdecydował się zakupić jedno z takich urządzeń, aby przeprowadzić dogłębną analizę. Nową metodę kradzieży nazwał „CAN injection”.

Będąc stałym czytelnikiem naszego bloga wiesz zapewne, jak działa kradzież metodą „na walizkę” i w jaki sposób zdalny kluczyk komunikuje się z centralką w samochodzie. Złodzieje zdają sobie sprawę z rosnącej świadomości właścicieli samochodów, więc opracowali nową metodę ataku.

Kluczową rolę w tym procesie odgrywa architektura połączenia różnych odbiorników Toyoty RAV4 z magistralą CAN – uproszczony schemat znajduje się poniżej.

Nowa metoda kradzieży polega na dostaniu się do wewnętrznej komunikacji w CAN i wygenerowaniu fałszywych komunikatów o poprawności kluczyka – dzięki temu immobilizer może się odblokować. Problem polega na tym, że w większości samochodów poruszających się po drogach, tego typu wewnętrzna komunikacja nie jest chroniona – odbiorniki w samochodzie ufają jej „w ciemno” właśnie dlatego, że jest wewnętrzna.

Z powyżej zamieszczonego schematu możemy zobaczyć, że w przypadku Toyoty RAV4 złodzieje włamują się najpierw do okablowania oznaczonej na czerwono magistrali (tej, do której podłączony jest ECU odpowiedzialny za rozpoznawanie klucza), a następnie używają prostego urządzenia do wygenerowania fałszywych komunikatów. Łącząca instalacje bramka (Gateway, który po prostu kopiuje komunikaty w tę  i z powrotem) przesyła tę informację do „zielonej” magistrali CAN. Złodzieje mogą również wysłać inny, fałszywy komunikat o tym, że należy odblokować drzwi. Ostatnim komunikatem, który wysyła urządzenie jest ten o możliwości startu silnika.

Cała operacja zajmuje przestępcom nie więcej niż dwie minuty.

Kradzież samochodu w dwie minuty – jak wygląda urządzenie do kradzieży?

Zakupione urządzenie zostało dokładnie przeanalizowane przez badacza ds. cyberbezpieczeństwa. Mikroprocesor, który pozwala na włamania do samochodów wlutowany jest bezpośrednio w płytkę drukowaną głośnika JBL i zatopiony w kropli żywicy.  Okazało się, że tego typu „tunning” głośnika kosztuje nie więcej niż 10 dolarów. Producenci używają bowiem popularnego mikrochipa PIC18F, nadajnika-odbiornika CAN oraz dodatkowego obwodu elektrycznego. Całość pobiera energię elektryczną z akumulatora głośnika JBL.

Urządzenie służące do kradzieży jest przeznaczone do podłączenia się do sterującej magistrali CAN (czerwona magistrala na schemacie elektrycznym) w celu podszywania się pod ECU inteligentnego kluczyka. Istnieje kilka metod aby dostać się do przewodów magistrali CAN – muszą one jednak przechodzić blisko karoserii. Zdecydowanie najłatwiejsza droga do tej magistrali CAN w RAV4 prowadzi przez reflektory.

Po pierwszym włączeniu „głośnik JBL” nasłuchuje określonego komunikatu CAN, aby wiedzieć, że samochód jest gotowy. Kiedy odbiera ten komunikat, zaczyna wysyłać serię wiadomości (około 20 razy na sekundę) i aktywuje dodatkowy obwód podłączony do jego nadajnika-odbiornika CAN. Seria komunikatów zawiera sygnał „inteligentny kluczyk jest ważny”, a bramka (Gateway na schemacie) przekazuje ten sygnał do ECU zarządzania silnikiem na drugiej (zielonej) magistrali.

Normalnie spowodowałoby to małe zamieszanie – komunikaty  z kluczyka kolidowałyby z fałszywymi komunikatami z „głośnika JBL”, co uniemożliwiłoby bramce (Gateway) przekazanie wiadomości. W tym miejscu pojawia się jednak wspomniany wcześniej, dodatkowy obwód. Zmienia on sposób działania magistrali CAN w taki sposób, że inne odbiorniki nie mogą się ze sobą komunikować. Bramka nadal może nasłuchiwać komunikatów i oczywiście może nadal wysyłać komunikaty do magistrali CAN zespołu napędowego. Dlaczego komunikaty wysyłane są aż 20 razy na sekundę? Cóż, cała konfiguracja jest nieco delikatna. Czasami bramka (Gateway) nie prowadzi nasłuchu komunikatów, ponieważ CAN wykrywa brak możliwości komunikacji i resetuje się. Jak widać, ten problem można skutecznie obejść.

Na obudowie głośnika JBL jest przycisk „Odtwarzaj”, który połączony jest bezpośrednio ze wspomnianym wcześniej układem PIC18F. Po naciśnięciu przycisku seria fałszywych komunikatów zmienia się tak, że teraz instruują one samochód, aby zwolnił blokadę drzwi. Złodzieje mogą wówczas odczepić fałszywy głośnik od magistrali CAN, otworzyć drzwi do auta, odpalić silnik i odjechać.

Kradzież samochodu w dwie minuty – czy można zabezpieczyć się przed „głośnikiem JBL”?

Dobra wiadomość – fałszywy głośnik JBL można unieszkodliwić na dwa sposoby. Zła wiadomość to taka, że nie są one raczej dostępne dla przeciętnego Kowalskiego. Obie metody bowiem wymagają dużej wiedzy z zakresu programowania, cyberbezpieczeństwa oraz kryptografii. Te poprawki dotyczą wszystkich marek i modeli samochodów podatnych na atak CAN Injection (jest to problem dotyczący całej branży, nie ograniczony do żadnego producenta ani modelu). Wprowadzenie takich poprawek w praktyce oznacza wprowadzenie nowego standardu szyfrowania danych w samochodach. Ze względów praktycznych nie należy spodziewać się, że nastąpi to w najbliższych latach.

Warto wspomnieć, że po dokonaniu odkrycia Ian Tabor próbował skontaktować się z Toyotą i przedyskutować lukę bezpieczeństwa – jednak bez większych sukcesów.  Jedynym sposobem, aby ochronić swoje auto przed tego typu rodzajem kradzieży jest montaż dodatkowych, akcesoryjnych zabezpieczeń opartych na magistrali CAN. Jednym z lepszych rozwiązań na rynku jest produkowany przez Zabezpiecz-Auto.pl, immobilizer CanLock.

Mimo dostania się do magistrali CAN i wysłania fałszywych komunikatów, złodzieje nadal nie będą w wstanie odjechać samochodem, jeśli nie dokonają odpowiedniej autoryzacji. Służy do tego ustalony wcześniej kod PIN, breloczek Bluetooth lub aplikacja mobilna.

Dowiedz się więcej:

• Jak CanLock ochronił właściciela przed stratą pojazdu? Przeczytaj.
• Keyless Protector vs CanLock – co lepiej chroni przed kradzieżą?
• Do czego może prowadzić nieumiejętny montaż zabezpieczenia antykradzieżowego?
• Zabezpieczenie antykradzieżowe CanLock – wersje urządzenia
• Kradzież „na walizkę” – co to takiego?
• Kradzież „na lawetę” – na czym polega?
• Kradzież „na gameboya” – co warto wiedzieć?
• TOP5 – najlepsze zabezpieczenia antykradzieżowe
• Immobilizer CAN – jak działa?
• Keyless Protector vs CanLock – co lepiej chroni przed kradzieżą?
• Autoalarm z GPS – porównanie najpopularniejszych modeli