Esta nueva técnica de robo de autos sin llave funciona en menos de 2 minutos
Cuando un hombre de Londres descubrió que el parachoques delantero izquierdo de su Toyota RAV4 estaba dañado y el faro parcialmente desmantelado no una sino dos veces en tres meses el año pasado, sospechó que los actos eran vandalismo sin sentido. Cuando el vehículo desapareció unos días después del segundo incidente, y un vecino descubrió que su Toyota Land Cruiser había desaparecido poco después, descubrió que no era casualidad. En realidad se trataba de una técnica nueva y sofisticada para realizar robos sin llaves.
Dio la casualidad de que el propietario, Ian Tabor, es un investigador de ciberseguridad especializado en automóviles. Mientras investigaba cómo se llevaron su RAV4, se topó con una nueva técnica llamada ataques de inyección CAN.
El caso del CAN averiado
Tabor comenzó estudiando detenidamente el sistema telemático “MyT” que utiliza Toyota para rastrear las anomalías del vehículo conocidas como DTCs (Códigos de diagnóstico de Problemas). Resultó que su vehículo había registrado muchos DTCs en el momento del robo.
Los códigos de error mostraban que se había perdido la comunicación entre el CAN (abreviatura de Controller Area Network) del RAV4 y la Electronic Control Unit del faro. Estas ECUs, como se abrevian, se encuentran en prácticamente todos los vehículos modernos y se utilizan para controlar una gran variedad de funciones, incluidos los limpiaparabrisas, los frenos, las luces individuales y el motor. Además de controlar los componentes, las ECUs envían mensajes de estado a través de CAN para mantener a otras ECUs informadas de las condiciones actuales.
Este diagrama traza la topología CAN para el RAV4:
Los DTCs que muestran que el faro izquierdo del RAV4 perdió contacto con el CAN no fueron particularmente sorprendentes, considerando que los ladrones habían arrancado los cables que lo conectaban. Más revelador fue el fallo al mismo tiempo de muchas otras ECUs, incluidas las de las cámaras frontales y el control del motor híbrido. En conjunto, estas fallas sugirieron no que las ECUs habían fallado, sino que el bus CAN había funcionado mal. Eso hizo que Tabor buscara una explicación.
Dispositivos sofisticados
Luego, el investigador y la víctima del robo recurrieron a foros sobre delitos en la web oscura y videos de YouTube que discutían cómo robar autos. Eventualmente encontró anuncios de lo que estaban etiquetados como dispositivos de “arranque de emergencia”. Aparentemente, estos dispositivos fueron diseñados para que los usen los propietarios o los cerrajeros cuando no hay una llave disponible, pero nada impedía que nadie más los usara, incluidos los ladrones. Tabor compró un dispositivo anunciado para arrancar varios vehículos de Lexus y Toyota, incluido el RAV4. Luego procedió a realizar ingeniería inversa y, con la ayuda de su amigo y compañero experto en seguridad automotriz Ken Tindell, descubrió cómo funcionaba en el CAN del RAV4.
Dentro de este altavoz JBL se esconde una nueva forma de ataque
La investigación descubrió una forma de robo de vehículos sin llave que ninguno de los investigadores había visto antes. En el pasado, los ladrones tenían éxito usando lo que se conoce como ataque de retransmisión. Estos trucos amplifican la señal entre el automóvil y el control remoto de entrada sin llave que se usa para desbloquearlo y encenderlo. Los llaveros sin llave generalmente solo se comunican a distancias de unos pocos pies. Al colocar un dispositivo de radio de mano simple cerca del vehículo, los ladrones amplifican el mensaje normalmente débil que envían los automóviles. Con suficiente amplificación, los mensajes llegan a la casa u oficina cercana donde se encuentra el llavero. Cuando el mando a distancia responde con el mensaje criptográfico que desbloquea y enciende el vehículo, el repetidor del ladrón lo transmite al automóvil. Con eso, el ladrón se marcha.
“Ahora que la gente sabe cómo funciona un ataque de retransmisión… Los propietarios de automóviles guardan sus llaves en una caja de metal (bloqueando el mensaje de radio del automóvil) y algunos fabricantes de automóviles ahora suministran llaves que se desactivan si están inmóviles durante unos minutos (y por lo tanto no recibirán el mensaje de radio del automóvil)”. Ante esta derrota, pero no dispuestos a renunciar a una actividad lucrativa, los ladrones adoptaron una nueva forma de evitar la seguridad: eludir todo el sistema de llave inteligente. Lo hacen con un nuevo ataque: Inyección CAN”.
Tindell en una publicación reciente
Tindell fue mencionado en este video, que muestra un robo de inyección CAN en acción.
El inyector CAN que compró Tabor estaba disfrazado como un altavoz Bluetooth JBL. Eso da cobertura a los ladrones en caso de que la policía u otros sospechen. En lugar de llevar un dispositivo de hacking obvio, el ladrón parece poseer un altavoz inocuo.
Análisis detallado
Un análisis más detallado reveló que había mucho más. Más específicamente, había chips inyectores CAN injertados en la placa de circuito.
Tindel explicó:
Resulta que son alrededor de $10 en componentes. Específicamente, un chip PIC18F que contiene hardware CAN, además de software preprogramado en el chip (conocido como firmware), un transceptor CAN (un chip CAN estándar que convierte las señales digitales del hardware CAN en el PIC18F en los voltajes analógicos enviados en los cables CAN), y un circuito adicional conectado al transceptor CAN. El dispositivo se alimenta de la batería del altavoz y se conecta a un bus CAN. Un bus CAN es básicamente un par de cables trenzados, y en un automóvil hay varios buses CAN unidos, ya sea directamente con conectores o cableado digitalmente a través de una computadora de puerta de enlace que copia algunos mensajes CAN de un lado a otro entre los buses CAN a los que está conectado.
El dispositivo antirrobo está diseñado para conectarse al bus CAN de control (el bus rojo en el diagrama de cableado) para hacerse pasar por la ECU de la llave inteligente. Hay varias formas de llegar a los cables para este bus CAN, el único requisito es que los cables deben llegar al borde del automóvil para poder alcanzarlos (los cables enterrados profundamente en el automóvil no son prácticos para los ladrones que intentan robar un automóvil estacionado en la calle). Con mucho, la ruta más fácil hacia ese bus CAN en el RAV4 es a través de los faros: tirando del parachoques y accediendo al bus CAN desde el conector del faro.
Otras vías
Otro acceso sería posible: incluso perforar un agujero en un panel donde pasa el par trenzado de cables CAN, cortar los dos cables y empalmar el inyector CAN también funcionaría. No obstante, el valor disminuido de un automóvil con un agujero en él significa que los ladrones toman la ruta más fácil. La investigación de Ian descubrió que la mayoría de estos autos están destinados a la exportación, enviados en contenedores a sitios en África.
Ataque en acción
Cuando se enciende por primera vez, el inyector CAN no hace nada: está escuchando un mensaje CAN particular para saber que el automóvil está listo. Cuando recibe este mensaje CAN, hace dos cosas: comienza a enviar una ráfaga de mensajes CAN (alrededor de 20 veces por segundo) y activa ese circuito adicional conectado a su transceptor CAN.
La ráfaga de mensajes CAN contiene una señal de “llave inteligente es válida”, y la puerta de enlace transmitirá esto a la ECU de administración del motor en el otro bus. Normalmente, esto causaría confusión en el bus CAN de control: los mensajes CAN del controlador de llave inteligente real chocarían con los mensajes impostores del inyector CAN, y esto podría evitar que la puerta de enlace reenvíe el mensaje inyectado. Aquí es donde entra en juego ese circuito adicional: cambia la forma en que funciona un bus CAN para que otras ECUs en ese bus no puedan comunicarse.
La puerta de enlace aún puede escuchar mensajes y, por supuesto, aún puede enviar mensajes al bus CAN del tren motriz. La ráfaga se repite 20 veces por segundo porque la configuración es frágil y, a veces, la puerta de enlace no escucha porque su hardware CAN se reinicia solo (porque cree que no poder comunicarse es una indicación de una falla, que en cierto modo lo es) .
Hay un botón ‘Reproducir’ en la caja del altavoz Bluetooth JBL, y está conectado al chip PIC18F. Cuando se presiona este botón, la ráfaga de mensajes CAN cambia ligeramente y le indican a la ECU de la puerta que desbloquee las puertas (como si se hubiera presionado el botón “desbloquear” en la llave inalámbrica). Luego, los ladrones pueden desenganchar el CAN inyector, entrar al automóvil y llevárselo.
Contramedidas
Tabor y Tindell han diseñado dos defensas que, según dicen, derrotarían los ataques de inyección de CAN. Tindell dijo que notificaron a Toyota sobre las defensas pero aún no han recibido una respuesta.