Onderzoekers van de Polytechnische Universiteit van Milaan en het beveiligingsbedrijf Trend Micro hebben een lek ontdekt in de can-standaard, die onder meer in auto's wordt toegepast. Dit is volgens hen niet te patchen en kan misbruikt worden om dos-aanvallen uit te voeren op autosystemen.
Communicatie op het can vindt plaats door middel van berichten die ook wel 'frames' worden genoemd. De onderzoekers schrijven dat ook foutmeldingen hiervan gebruikmaken. Een foutmelding komt voor als een apparaat op het netwerk een waarde leest die niet overeenkomt met de verwachte waarde. In dat geval kan het desbetreffende frame teruggeroepen worden, waardoor het genegeerd wordt. Het kan echter ook voorkomen dat een apparaat te veel fouten produceert. In dat geval wordt dat apparaat in een 'bus off'-status geplaatst, waardoor het is afgesloten van het netwerk. De aanval richt zich op deze functionaliteit, die ervoor moet zorgen dat een defect apparaat wordt geïsoleerd.
De onderzoekers noemen in dezelfde paper een aantal mogelijke aanvalsscenario's, zoals het uitschakelen van actieve veiligheidssystemen, bijvoorbeeld het automatisch remmen bij collisiedetectie. Daarnaast zou het in bepaalde auto's mogelijk zijn om een dos-aanval op het gaspedaal uit te voeren, waardoor de bestuurder de auto niet meer kan verplaatsen. Een derde scenario beschrijft het voorkomen van het afsluiten van de deuren, waarvoor binnen enkele minuten een exploit te schrijven zou zijn.
Om de aanval uit te voeren is fysieke toegang vereist. Daarover zeggen de onderzoekers in een technische paper dat het vooral bij auto's vaker voorkomt dat iemand fysieke toegang heeft, bijvoorbeeld bij reparaties, het uitlenen van een auto of het voertuig door iemand anders laten parkeren. Daar komt bij dat de kwetsbaarheid ook op afstand is uit te voeren als een ander lek toegang geeft tot de ecu van een auto. Charlie Miller, een onderzoeker die betrokken was bij de Jeep-hack in 2015, zegt dat hij het uitvoeren van een hack op afstand zeer moeilijk acht.
De onderzoekers stellen dat, hoewel hun onderzoek zich op auto's richt, er ook gevolgen zijn voor andere sectoren waarin de can-standaard wordt toegepast. Bijvoorbeeld in treinen, de luchtvaart, maritieme toepassingen, gebouwautomatisering en ziekenhuizen. Het Amerikaanse Cert heeft al eerder voor de kwetsbaarheid gewaarschuwd.
Alles bij de bron; Tweakers