오늘 4편 부록은 4편에서 간단하게 설명한 CAN 주입 공격이 어떻게 가능한지, 어떤 수법으로 하는지 상세하게 설명하는 부분입니다.  상세하다고는 하지만 원문이 집에서 따라하실 정도로 일부러 구체적인 구현방법은 설명하지 않고 있습니다

---

CAN 주입: 열쇠가 필요없는 자동차를 절도

깃헙 블로그

켄 틴델 - 2023년 4월 3일

118개의 코멘트

https://kentindell.github.io/2023/04/03/can-injection/

이것은 자동차가 어떻게 도난당했는지에 대한 탐정 이야기입니다. 그리고 첨단 기술 자동차 절도의 확산을 어떻게 밝혀냈는지에 대한 이야기입니다. 트윗으로 시작됩니다. 2022년 4월, 내 친구 Ian Tabor 는 기물파괴자가 그의 차 헤드라이트를 떼어내고 케이블을 뽑았다고 트윗했습니다.

아래 내용: 요새는 좋은 차를 구입하는 것은 촛가는 일이야.  오늘 집에 일찍 왔더니 앞 범퍼 커버와 휠아치 커버가 떨어져 나가 있고, 전조등 배선은 뽑혀서 밖으로 꺼내놓았어.  인도 쪽이니까 누가 박고 간 것도 아니고, 드라이버로 긁은 자국이 엄청나.  휠아치 트림 리테이너들은 깨져있고.

그것은 무의미한 기물 파손, 좋은 물건을 보유하지 못하게 만드는 종류의 행위처럼 보였습니다. 그러다가 3개월 뒤에 또 그런 일이 일어났어요.

이번에는 범퍼를 빼내고 헤드라이트를 뽑았습니다. 그러나 이틀 후, 두 사건 모두 기물 파손이 아닌 것으로 밝혀졌습니다.

아래 내용: 이제야 그놈들이 무슨 목적이었는지 알았어.  차가 없어졌어.  내 토요타UK 앱은 차가 움직이고 있는 지점을 보여주고 있어.  어제 밤에 기름을 가득 넣었는데.  체키랄!

차가 없어졌습니다. 그리고 헤드라이트를 통해서 도난당한 것 같습니다. Ian은 자동차 분야의 사이버 보안 연구원이며 이전에 차량 취약점을 찾아 버그 현상금을 받았습니다. 처음에는 그의 트윗을 읽고 이것이 그의 명성을 흠집내려는 해킹 건일 수 있다고 생각했습니다. 그러나 그것은 그렇지 않은 것으로 밝혀졌습니다. Ian의 이웃은 얼마 지나지 않아 Toyota Land Cruiser를 도난당했습니다. Ian에게 이것은 업무를 넘어서는 일이고 그는 그들이 어떻게 차를 훔쳤는지 알고 싶었습니다. 최종적으로는, 그 차는 엔진 이모빌라이저를 포함한 정교한 자동차 보안 시스템을 갖추고 있습니다. 그들은 어떻게 이 차들을 운전해서 갔을까요?

Ian은 많은 Toyota 자동차에 포함되어 있는 'MyT' 텔레매틱스 시스템부터 시작하여 좀 더 조사했습니다. 자동차 산업은 수십 년 동안 자동차에 진단 시스템을 내장해 왔습니다. 이를 '온보드 진단'(또는 줄여서 OBD )이라고 하며 전자 제어 장치(또는 ECU )가 오류를 감지하면 코드를 기록합니다. 업계에서는 이를 'DTC 삭제'(또는 진단 문제 코드 )라고 부릅니다. MyT 시스템은 DTC를 Toyota 서버로 전송하고 MyT 앱은 이를 표시할 수 있습니다.

Ian의 자동차에 있는 DTC

감지된 오류가 무엇인지, 언제 발생했는지를 나타내는 코드입니다. 일부 DTC에는 결함 발생 시점의 센서 데이터 모음인 '정지 프레임'이 포함되어 있어 작업장 정비사가 결함을 진단하는 데 도움이 됩니다(차량 속도, 외부 온도, 배터리 전압 등의 것). 신식 자동차에서 ECU는 CAN 버스(CAN은 Controller Area Network 의 약자)라는 프로토콜을 실행하는 통신 링크를 통해 함께 연결됩니다 . 이는 30여년 전에 발명되었으며 오늘날 자동차뿐만 아니라 보트, 농기구, 항공기, 건설 장비, 심지어 우주선에도 내장되어 있습니다(현재 화성 궤도를 도는 CAN 버스가 있습니다). ECU가 결함을 진단하는 방법 중 하나는 대화해야 하는 다른 ECU로부터 신호를 듣지 못하는 경우이며 이는 종종 타임 아웃 으로 수행됩니다 . CAN 메시지가 정기적으로 수신되지 않으면 일정 시간이 지나도 신호가 들리지 않습니다. 청취자가 CAN 버스나 다른 ECU에 결함이 있다고 가정하는 모든 것. 때로는 CAN 버스에 장애가 발생한 것이 분명할 때도 있습니다. 예를 들어 ECU 자체 메시지가 전송되지 않거나 CAN 버스 인터페이스 하드웨어에서 통신이 끊겼다고 알리는 경우입니다.

차를 도난당했을 때 Ian의 차는 많은 DTC를 발생했던 것으로 밝혀졌습니다 .

RAV4 전면에는 조명(하이빔 및 로우빔 헤드라이트와 방향지시등)을 제어하는 ECU가 있습니다. 대부분의 자동차에는 조명을 켜는 간단한 스위치가 있던 시절이 오래 전에 사라졌기 때문에 이러한 ECU가 있습니다. 조명은 스마트하고 헤드라이트의 수평을 맞추는 모터와 같은 것들이 포함되어 있습니다(따라서 자동차에 무거운 짐을 실었을 때, 보상을 위해 조명 높이가 바뀜), 모퉁이를 비추는 코너링 라이트, 조명 고장 여부를 자동으로 감지하고, 펌프를 켜서 조명에 물을 뿌리는 등의 작업이 수행됩니다. 그리고 RAV4에서는 다가오는 운전자를 눈부시게 하지 않으면서 도로의 나머지 부분을 계속 밝히기 위해 매트릭스 LED조명이 있습니다.

DTC는 조명 제어 ECU와의 통신이 끊어진 것으로 나타났습니다. 도둑이 케이블을 끊었기 때문에 이것은 놀라운 일이 아닙니다. 그러나 DTC는 또한 전면 카메라 제어, 하이브리드 엔진 제어 시스템 등 많은 시스템이 고장났다고 보여주었습니다. 어떻게 그럴 수 있을까? 이것이 다음 단서였습니다. ECU가 고장난 것이 아니라 ECU와의 통신이 두절되었고 진단 프로그램에서 이를 결함으로 표시했다는 것입니다. 공통 단서: CAN 버스.

Ian은 다크 웹, 자동차 절도 방법에 대해 이야기하는 사이트와 포럼을 검색하고 자동차 절도에 대한 YouTube 동영상을 찾았습니다. 그는 위조 리모콘 프로그래밍부터 '비상 시동' 장치(이러한 제품을 열쇠를 분실한 소유자나 평판이 좋은 자물쇠 기술자가 사용할 것이라는 허구)에 이르기까지 자동차 보안을 우회하기 위한 100개 이상의 제품을 판매하는 한 웹사이트를 주목했습니다.

일반 소유자에게는 가격이 눈알이 튀어나올 정도 (최대 5,000유로=730만원)이지만, 자동차 도둑들에게는 이것은 투자입니다. 지프, 마세라티, 혼다, 르노, 재규어, 피아트, 뿌죠, 닛산, 포드, BMW, 폭스바겐, 크라이슬러, 캐딜락 GMC 및 토요타를 포함한 다양한 자동차 모델을 대상으로 하는 제품이 있습니다.

토요타의 경우 '긴급 시동' 시스템은 JBL 블루투스 스피커 케이스 안에 숨겨진 약간의 전자 장치입니다. 이것은 도둑들에게 그럴듯한 혐의 부인 가능성을 제공합니다. 경찰에 의해 저지되면 그들은 첫눈에 명백한 자동차 절도 도구를 들고 있는 것이 아니라 무고한 음악 장치처럼 보이는 것을 가지고 있는 것입니다. 웹사이트에는 도난 장치가 '지원'하는 자동차 모델이 나열되어 있습니다. ES, LC, LS, NX, RX를 포함한 렉서스 모델과 GR Supra, Prius, Highlander, Land Cruiser, RAV4를 포함한 토요타 모델이 있습니다. Ian은 차량 과학수사 회사 Harper Shaw 의 Noel Lowdon 과 이 장치에 대해 논의한 후 리버스 엔지니어링을 위해 장치를 구입하기로 결정했습니다. 이 시점에서 제가 장치가 CAN 버스에서 작동하는 방식에 대해 도움을 달라고 요청받았습니다.

Ian은 저를 CAN 전문가라고 부릅니다. 저는 Volvo의 최초 CAN 기반 자동차 플랫폼에서 협력했으며 자동차에 사용되는 소형 칩을 위한 최초의 저비용 CAN 하드웨어를 설계했습니다. 저의 신생 회사는 Volvo가 모든 분야에서 사용하는 CAN 네트워킹 소프트웨어를 생산했습니다. 저는 CAN 네트워킹 시스템 부문에서 볼보 기술상(Volvo Technology Award)을 수상한 팀의 일원이었습니다 (제 스타트업은 나중에 Bosch에 매각되었으며 현재는 차량용 소프트웨어 기술 부문에서 Bosch의 ETAS 그룹에서 번성하고 있습니다). 우리는 도난 장치가 어떻게 작동하는지 함께 살펴보기 시작했습니다.

더 나아가기 전에 면책 조항을 작성해야 합니다. 이 이야기에서는 누군가가 도난 장치의 복제품을 더 쉽게 만들 수 있도록 하는 세부 정보를 공개하지 않습니다. 장치의 제작자는 범죄자이며 나도 이안도 이 사람들을 돕지 않을 것입니다. 이 이야기를 전하는 목적은 법 집행 기관과 자동차 제조업체가 이러한 장치에 대해 조치를 취할 수 있도록 돕는 것입니다 (마지막에는 자동차 제조업체와 공급업체가 도둑을 물리치기 위해 ECU 소프트웨어를 업데이트할 수 있는 몇 가지 방법을 제시하겠습니다). 나는 또한 이것이 토요타에만 국한된 것이 아니라는 점을 강조하고 싶습니다. Ian은 그의 도난 차량이 RAV4였기 때문에 RAV4를 조사했고 다른 제조업체에도 비슷한 방식으로 도난당할 수 있는 자동차 모델이 있습니다.

새로운 도난 기술: CAN 주입

신식 자동차는 자동차와 대화하고 암호화 메시지를 교환하는 스마트 키를 사용하여 도난으로부터 보호됩니다. 그러면 해당 키가 자동차에 진품임을 증명할 수 있습니다. 이 메시징 체계는 일반적으로 안전하다고 간주되며 막대한 자원(국가에서만 보유하는 유형) 없이는 깨질 수 없습니다. 그러나 도둑은 어려운 부분을 공격하지 않습니다. 그들은 약점을 찾아 해결합니다. 과거에는 릴레이 공격을 사용하여 이 작업을 수행했습니다 . 일반적으로 자동차는 자신을 증명하기 위해 무선으로 키를 요청한 다음 무선으로 유효한 메시지를 수신하면 자동차의 잠금을 해제하고 엔진 이모빌라이저를 비활성화합니다. 도둑들은 이 문제를 해결할 수 있는 간단한 방법을 찾았습니다. 그들은 자동차의 메시지를 열쇠가 보관된 주택으로 전송한 다음 열쇠의 메시지를 다시 자동차로 전달하는 휴대용 무선 중계국을 사용했습니다. 자동차는 전달된 메시지를 유효한 것으로 받아들입니다. 왜냐하면 실제 키가 자동차의 잠금을 해제하는 데 사용되었기 때문입니다. 이제 사람들은 릴레이 공격이 일반적으로 어떻게 작동하는지 알았으므로 이를 물리칠 수 있습니다. 자동차 소유자는 금속 상자에 열쇠를 보관하고(자동차의 무선 메시지를 차단) 일부 자동차 제조업체는 이제 몇 분 동안 움직이지 않으면 절전 모드로 전환되는 키를 제공합니다. (따라서 자동차로부터 무선 메시지를 수신할 수 없습니다). 이러한 패배에 직면했지만 수익성 있는 활동을 포기할 생각이 없었던 도둑들은 보안을 둘러싼 새로운 방법으로 이동했습니다. 즉, 전체 스마트 키 시스템을 우회하는 것입니다. 그들은 새로운 공격인 CAN 주입으로 이를 수행합니다 .

아래 다이어그램은 RAV4의 ECU가 CAN 버스와 어떻게 연결되어 있는지 보여줍니다(매우 단순화된 다이어그램이며 모든 ECU 또는 CAN 버스를 표시하지는 않습니다).

3개의 CAN 버스가 표시됩니다.

•    제어 CAN 버스(헤드라이트, 도어 제어, 텔레매틱스, 에어컨 등을 위한 ECU 포함) : 빨간색

•    파워트레인 CAN 버스(엔진 제어, 하이브리드 배터리 및 모터 제어 등을 위한 ECU 포함) : 초록색

•    주행보조 CAN 버스(레이더, 전방 카메라 및 셀프 주차용 ECU 포함) : 검정색

CAN 주입이 작동하는 방식은 자동차의 내부 통신(예: CAN 버스)에 들어가서 마치 스마트 키 수신기에서 나오는 것처럼 가짜 메시지를 주입하는 것입니다. 기본적으로 "키 확인됨, 이모빌라이저 잠금 해제"라는 메시지가 표시됩니다. 오늘날 도로를 달리는 대부분의 자동차에서는 이러한 내부 메시지가 보호되지 않습니다. 수신자는 단순히 이를 신뢰합니다. 위 배선 다이어그램에서 RAV4에서 어떻게 작동하는지 확인할 수 있습니다. 도둑은 빨간색 CAN 버스(노란색으로 표시된 스마트 키 수신기 ECU가 연결된 버스)의 배선에 침입한 다음 간단한 전자 장치를 사용합니다. CAN 프레임을 빨간색 CAN 버스로 보내 마치 스마트 키 수신기에서 보내는 것처럼 가짜 "키가 검증되었습니다" 메시지를 보냅니다. 게이트웨이 ECU(특정 CAN 메시지를 앞뒤로 복사하는 간단한 장치)는 해당 가짜 메시지를 초록색 CAN 버스에 복사하고 엔진 제어 시스템(파란색으로 표시)은 메시지를 수락하고 이모빌라이저 기능을 비활성화합니다.

그런 다음 도둑은 CAN 인젝터 장치를 사용하여 본질적으로 "키가 유효합니다. 문을 잠금 해제하십시오"라고 말하는 도어 ECU(파란색으로 표시됨)에 다른 가짜 CAN 메시지를 보낼 수 있습니다. 따라서 침입하기 위해 차를 손상시킬 필요도 없습니다. 열쇠 없이도 문을 열고, 타고, 차를 몰고 갈 수 있습니다.

CAN 주입 장치

Ian이 입수한 CAN 주입식 절도 장치는 다음과 같습니다.

JBL 블루투스 스피커처럼 생겼네요. 그리고 그 내부 는 대부분 여전히 남아 있습니다(스피커는 없습니다).

CAN 인젝터는JBL 회로 기판에 연결되어 있고 큰 수지 덩어리에 굳혀 있습니다.  Ian은 온풍기로 수지를 녹이고 JBL 회로 기판에 배선하는 방법을 알아냈으며 칩이 무엇인지 알아내기도 했습니다(올바른 패턴을 찾을 때까지 칩에 대해 핀아웃을 일치시키는 기술을 사용함).

CAN 하드웨어가 포함된 PIC18F 칩과 칩에 사전 프로그래밍된 소프트웨어( 펌웨어 로 알려짐 ), CAN 트랜시버 (PIC18F의 CAN 하드웨어에서 디지털 신호를 변환하는 표준 CAN 칩 ), CAN 와이어로 전송되는 아날로그 전압 및 CAN 트랜시버에 연결된 추가 회로 (자세한 내용은 곧 설명)는 약 10달러의 구성 요소로 밝혀졌습니다. 장치는 스피커 배터리에서 전원을 공급받아 CAN 버스에 연결됩니다. CAN 버스는 기본적으로 함께 꼬인 한 쌍의 전선이며, 자동차에는 커넥터를 사용하여 직접 연결되거나 CAN 버스 사이에서 일부 CAN 메시지를 앞뒤로 복사하는 게이트웨이 컴퓨터를 통해 디지털 방식으로 연결된 여러 개의 CAN 버스가 있습니다.

절도 장치는 제어 CAN 버스(배선도의 빨간색 버스)에 연결되어 스마트키 ECU를 사칭하도록 설계되었습니다. 이 CAN 버스의 전선에 접근하는 방법에는 여러 가지가 있습니다. 유일한 요구 사항은 전선이 자동차 테두리까지 와야 도달할 수 있다는 것입니다(자동차 깊숙이 묻혀 있는 전선은 노상에서 도둑이 접근하기가 비현실적입니다). RAV4에서 CAN 버스로 들어가는 가장 쉬운 경로는 헤드라이트를 통과하는 것입니다. 즉, 범퍼를 당겨서 헤드라이트 커넥터에서 CAN 버스에 접근하는 것입니다. 다른 접근도 가능합니다. 2가닥이 꼬여있는 CAN 와이어 쌍이 지나가는 패널에 구멍을 뚫고 두 와이어를 절단하고 CAN 인젝터를 접합하는 것도 가능하지만 구멍이 있는 자동차의 가치는 감소합니다. 이는 도둑이 가장 쉬운 경로를 택한다는 것을 의미합니다(Ian의 조사에 따르면 이러한 자동차는 대부분 수출용으로 배송 컨테이너를 통해 아프리카 지역으로 배송되는 것으로 나타났습니다).

처음 전원을 켜면 CAN 인젝터는 아무 작업도 수행하지 않습니다. 즉, 자동차가 준비되었음을 알기 위해 특정 CAN 메시지를 수신하는 것입니다. 이 CAN 메시지를 수신하면 두 가지 작업을 수행합니다. 즉, CAN 메시지 버스트(초당 약 20회)를 보내기 시작하고 기계의 CAN 트랜시버에 연결된 추가 회로를 활성화합니다. CAN 메시지 버스트에는 '스마트 키가 유효합니다' 신호가 포함되어 있으며 게이트웨이는 이를 다른 버스의 엔진 관리 ECU에 전달합니다. 일반적으로 이는 제어 CAN 버스에 혼란을 야기합니다. 실제 스마트 키 컨트롤러의 CAN 메시지는 CAN 인젝터의 사칭 메시지와 충돌하며 이로 인해 게이트웨이가 주입된 메시지를 전달하지 못할 수 있습니다. 여기서 추가 회로가 등장합니다. CAN 버스의 작동 방식을 변경하여 해당 버스의 다른 ECU가 통신할 수 없도록 합니다. 게이트웨이는 여전히 메시지를 수신할 수 있으며 물론 파워트레인 CAN 버스로 메시지를 보낼 수도 있습니다.  이 임시 설정은 불안하기 때문에 버스트는 초당 20회 반복되며CAN 하드웨어가 일부러 게이트웨이를 반복적으로 리셋되어 시키면서 동작하는 방식이기 때문에 때때로 게이트웨이가 수신을 하지 못할 때도 있습니다 (통신이 되지 않는 결함 현상으로 간주하는 것인데, 정의에 부합되는 동작이긴 합니다). .

JBL 블루투스 스피커 케이스에는 '재생' 버튼이 있으며, 이는 PIC18F 칩에 연결되어 있습니다. 이 버튼을 누르면 송출되는 CAN 메시지가 약간 변경되고 도어 ECU에 도어 잠금 해제를 지시합니다(무선 키의 '잠금 해제' 버튼을 누른 것처럼). 그러면 도둑은 CAN 인젝터 연결을 뽑고 차에 올라 차를 몰고 갈 수 있습니다. 여기 또 다른 피해자가 당하는  CCTV 영상이 있습니다(참을성이 없다면 2분 55초를 찾아보세요):

개조된 CAN 트랜시버

CAN 작동 방식을 변경하는 CAN 트랜시버의 개조를 다시 살펴보겠습니다(이 섹션에서는 CAN 버스 작동 방식에 대해 자세히 설명하므로, 원하신다면 토요타와 다른 제조업체가 절도를 방지하는 방법에 대해 논의하는 'CAN 인젝터 수법 격파' 섹션으로 건너뛰셔도 됩니다).

일반적으로 CAN은 거대한 AND 게이트로 작동합니다. 여기서 모든 장치가 논리 1을 입력하면 버스는 논리 1이 나오고, 어떤 장치 하나라도 논리 0을 입력하면 논리 0을 읽습니다. 이는 열성 레벨이라고 불리는 버스 '플로팅'에 의해 작동합니다: 두 개의 CAN 와이어 H와 L은 각각 약 2.5V이고 둘 사이의 전위 차이는 0에 가깝습니다(열성 상태의 CAN 트랜시버는 고 임피던스 상태이므로 이 상태는 플로팅이라고 불립니다). 이는 CAN 트랜시버에 의해 로직 1로 이해됩니다 (그리고 트랜시버의 RX 핀은 메인 프로세서 칩에 내장된 CAN 하드웨어에 로직 1을 출력합니다). 아무 CAN 컨트롤러나 버스를 우성 레벨(보통 CAN H은 약 4.5V, CAN L은 0.1V, 즉 약 4.4V의 차이)로 구동할 수 있습니다. 그러나 CAN 인젝터에는 다른 CAN 트랜시버가 있습니다. 열성 상태로 적극적으로 구동시키는 모드가 있으며 다른 CAN 장치가 버스를 우성 상태로 구동하는 것을 방해합니다(정상적일 때도 하나의 장치는 CAN H 및 L 전압을 조금씩 이동시키는 경우가 있지만 상태를 논리 0으로 변경할 정도는 아닙니다.)

Ian은 CAN Injector용으로 실험실 수준의 CAN 버스를 제작하여 차에 연결되었던 전자 장치들의 카피본을 연결하고 모의 ECU를 추가했습니다(Ian은 이에 대한 많은 경험을 갖고 있습니다. 그는 자동차 해킹 기술을 시연하는 데 사용되는 휴대용 '케이스 속의 자동차' 에뮬레이터를 구축했습니다 ). 로직 분석기와 오실로스코프는 실제 CAN 버스에서 CAN 인젝터의 영향을 측정할 수 있습니다. 다음은 CAN 인젝터가 아직 우성 오버라이드 회로를 활성화하기 전에 모의 ECU가 CAN 프레임을 보내는 파형입니다.

로직 분석기 파형 라인은 다음과 같습니다.

• INJECT-TX: CAN 인젝터의 CAN 컨트롤러에서 CAN 트랜시버로 연결되는 TX 핀
• INJECT-CS: 오버라이드 활성화(높을 때 활성화됨)
• ECU-TX: ECU의 CAN 컨트롤러에서 ECU의 CAN 트랜시버로 연결되는 TX 핀
• CAN H 및 CAN L: 이중 연선 CAN 버스 전선의 CAN high/low 신호(아날로그 신호값임)
• ECU-RX: ECU의 CAN 트랜시버에서 ECU의 CAN 컨트롤러로 연결되는 RX 핀

이는 모두 정상이며 CAN 버스가 올바르게 작동하고 있습니다.

절전과 깨우기

도난 과정이 시작되면 CAN 인젝터는 CAN 버스를 깨우기 위해 CAN 프레임을 보냅니다. 자동차가 '꺼진다'고 해서 실제로 꺼지는 것은 아닙니다. ECU는 아주 적은 전력 소비로 저전력 절전 모드로 전환됩니다. 자동차는 CAN 버스의 프레임(일반적으로 도어 ECU 또는 무선 키 ECU에서 전송)에 의해 '깨어납니다'. CAN 초기에는 이러한 웨이크업이 CAN 프레임의 SOF(Start-of-Frame) 필드인 CAN 버스의 에지였습니다. 그러나 무선 간섭으로 인해 CAN 버스에 에지가 발생하고 자동차가 아무 이유 없이 깨어날 수 있다는 사실이 밝혀졌습니다. 공항(강력한 레이더 전파가 CAN 버스에 에지를 발생시킬 수 있는 곳)에 주차했던 자동차 소유자에게 문제가 되었습니다. 휴가에서 돌아왔을 때 자동차 배터리가 방전된 것을 발견하게 되었기 때문입니다. 오늘날 최첨단 기술에서 웨이크업은 CAN 트랜시버, 전압 제어기 및 웨이크업 회로를 하나의 칩에 결합한 시스템 기초 칩을 사용하는 것입니다. 웨이크업 회로는 최소한의 CAN 로직을 가져서 적절한 CAN 프레임을 인식할 수 있으므로, 레이더 전파에서 발생하는 전기적 노이즈는 결코 적절한 CAN 프레임처럼 보이지 않으므로 뜬금없는 웨이크업이 없습니다.

CAN 인젝터의 웨이크업 프레임은 CAN 버스의 깨어난 ECU로부터 CAN 프레임을 수신할 때까지 초당 여러 번 전송됩니다. 이 시점의 CAN 인젝터는 우성 오버라이드 회로를 활성화하지 않았으므로 깨어난 ECU는 CAN 프레임을 보낼 수 있습니다. 그런 다음 CAN 인젝터는 우성 오버라이드를 실시하고 스마트 키인 척 위장한 CAN 프레임( 스푸핑 이라고 함)을 주기적으로 보내기 시작합니다.

우성 오버라이드 전환

열성/우성 메커니즘은 CAN 버스 작동 방식의 핵심입니다. 이를 사용하여 다음에 가야 할 프레임을 결정하고( 중재라고 함 ) 오류를 알리는 데 사용합니다. CAN 인젝터가 우성 오버라이드를 하는 주요 목적은 스푸핑과 실제 프레임이 동시에 전송될 때 충돌이 없도록 다른 CAN 장치의 전송을 차단하는 것입니다. 이 충돌은 일반적으로 CAN 버스에서 오래 지속되는 오류 '루프'를 유발하며 실제로 이것이 첫 번째 CAN 퀴즈 질문의 주제입니다.

유튜브 CAN Quiz   www.youtube.com/watch?v=cvjSM7YE3yM

CAN 인젝터가 우성 오버라이드를 활성화하면 다른 CAN 장치가 버스에서 전송하는 것을 효과적으로 차단하고 자체 스푸프 프레임만 수신되도록 강제합니다. 차단은 다른 프레임을 중지할 뿐만 아니라 CAN 프로토콜의 오류 메커니즘도 차단하므로 다른 ECU가 오류를 발생시켜 CAN Injector 스푸핑 프레임을 중지할 수 없습니다. 이것이 우성 오버라이드 메커니즘의 두 번째 목적입니다. 즉, CAN 보안 하드웨어를 무력화할 수 있습니다. 예를 들어, 실리콘 공급업체 NXP에는 스푸핑 프레임을 감지하고 CAN 오류로 이를 파괴하는 보안 로직이 내장된 CAN 트랜시버인 Stinger 라는 제품이 있습니다. Canis Labs 의 CAN-HG 시스템은 CAN 오류 가 있는 스푸핑 프레임을 감지하고 프레임을 무효화시킬 수도 있습니다. 그러나 CAN 오류를 사용하여 작동하는 (위의) 보안 대책은 개조된 트랜시버를 사용하는 CAN 인젝터를 격파할 수 없습니다-다른 CAN 장치가 우성 상태가 되어 (경고) 신호를 보내는 것을 차단하기 때문입니다.

우성 상태 설정이 방해되면 (정상적인) CAN 컨트롤러는 CAN 프레임을 보내려는 루프에 갇혀, 포기했다가 다시 보내는 시도를 반복합니다. 이것은 두 번째 CAN 퀴즈 질문의 주제였으며 저는 특별 CAN 컨트롤러(양산차에서는 거의 채택하지 않음)를 사용하여 문제를 시연했습니다 (실제 ECU는 하드웨어 결함같아 보이는 상황에 놓이면 CAN 버스에 다시 연결을 시도하는 방법에 대해 보다 정교한 네트워크 관리 접근 방식을 사용합니다).

아래 로직 분석기 파형은 Ian의 실험실 내 CAN 버스의 'ECU'가 자체 CAN 프레임 전송을 시도하지만 우성 오버라이드가 작동하면 실패하는 현상을 보여줍니다.

파형에서 INJECT-CS가 하이 상태이므로 오버라이드가 가능합니다. INJECT-TX는 하이(=열성 비트)입니다. 정상 상태에서 이는 CAN 유휴 상태이며 다른 CAN 컨트롤러는 (우선순위) 중재에 참여하여 CAN 프레임 전송을 시작할 수 있습니다.

ECU-TX 라인은 프레임 시작(CAN에서는 우성 비트)으로 시작하는 CAN 프레임을 보여 주지만 (ECU-RX가 로직 1에 고정되어 있으므로) 버스를 로직 0으로 변경시킬 수 없으므로 기 정의된 CAN 오류 복구 프로세스로 이어집니다(이에 대한 자세한 내용은 두 번째 CAN 퀴즈 질문에 설명되어 있습니다). CAN H 및 CAN L 와이어의 전압도 파형에 나와 있는데, 제 'ECU'는 이러한 전압을 조금 변화시키긴 했지만 모든 CAN 트랜시버(자체 트랜시버 포함)에서 우성 비트로 볼 수 있을 만큼 충분하지 않습니다. (ECU-RX 라인이 로직 1으로 고정된 파형에서 볼 수 있듯이).

ECU로부터 우성 비트(CAN ACK 필드)를 전송하는 것을 차단하는 것은 한가지 잠재적인 문제가 있습니다. CAN 프레임 중 ACK 필드는 1비트 필드이며 이것은 송신기에게 하나 이상의 장치가 정상적으로 수신하고 있다는 사실을 알리기 위해 사용됩니다. 송신기는 ACK에 논리 1(즉, 열성 비트)을 보내고 논리 0값을 회신 받을 것으로 기대합니다. 정상일 때 모든 수신기는 프레임 OK를 수신했음을 나타내기 위해 논리 0(즉, 우성 비트)을 보내기 때문입니다. 어떤 수신기가 논리 0을 보내려고 시도하지만 논리 1이 되돌아오면 CAN 프로토콜은 이를 오류로 처리하고 프레임을 접수하지 않습니다. 이는 RAV4의 게이트웨이 ECU가 모방된 스마트 키 ECU 프레임을 수신하지 않음을 의미합니다. 그리고 이는 모방된 프레임이 엔진 관리 시스템이 확인할 수 있도록 파워트레인 CAN 버스로 전달되지 않는다는 것을 의미합니다. 그러나 이는 실제 문제가 아닌 것으로 밝혀졌습니다: 왜냐하면 여러 CAN 수신기가 동시에 논리 0을 전송할 때 트랜시버가 우성 오버라이드 회로를 제압하고 우성 신호로 전환시킬 수 있기 때문입니다. 이는 다음 파형에서 볼 수 있습니다: 여기 실험실 내  CAN 버스에는 총 4개의 'ECU'가 있으며, 함께 버스의 우성 상태에 필요한 수준으로 전압을 이동할 수 있어서 CAN 인젝터의 모방 프레임 중 ACK 필드의 논리 0값이 0이 되고 모든 ECU들은 CAN 인젝터의 모방 프레임을 정상적으로 수신합니다.

CAN 인젝터 수법 격파

첫째, 좋은 소식입니다. CAN 인젝터는 순수한 소프트웨어 수정으로 격파할 수 있으므로 기존 자동차를 업데이트할 수 있으며, 매 운행이 끝날 때마다 핸들 잠금 막대를 설치하는 것도 피할 수 있습니다. 두 가지 수정 수준이 있습니다.

• 빠르지만 더러운 방법. 이는 CAN 인젝터가 현재 작동하는 방식에 대한 지식에 의존하며 작동을 중지하는 작은 변경을 수행할 수 있습니다. 이는 영구적인 수정이 아닐 것입니다. CAN 인젝터를 설계한 범죄자는 변경 사항에 대응할 수 있으며 다시 작동하기 시작할 것입니다. 하지만 이렇게 하면 다음 수정을 위한 시간을 벌 수 있습니다.
• 암호화 메시징. 이는 CAN 인젝터가 유효한 스푸프 프레임을 생성할 수 없도록 암호화 및 인증 코드를 사용하여 CAN 프레임을 보호합니다. 올바르게 구현되면 이는 영구적인 수정 사항입니다. 그러나 약간의 노력이 필요합니다(자세한 내용은 곧 설명하겠습니다).

이러한 수정 사항은 CAN 주입 공격에 취약한 모든 자동차 제조사 및 모델에 적용됩니다(이는 제조업체나 모델에 국한되지 않고 업계 전반의 문제입니다).

빠르지만 더러운 개선

현재 CAN 인젝터는 제어 CAN 버스에 혼란을 야기합니다. 버스를 열성 상태로 구동함으로써 ECU CAN 컨트롤러가 전송에 실패하고 특정 유형의 CAN 오류(우성-열성 비트 오류)로 인해 실패하게 됩니다. 이는 매우 드물며 일반적으로 하드웨어 오류를 나타냅니다 (이는 초반에 보여준 DTC목록 화면에서 확인할 수 있습니다.) 게이트웨이 ECU(또는 다른 차종에서는 엔진 이모빌라이저 ECU)는 CAN 컨트롤러를 모니터링하여 이러한 오류가 발생했는지 확인하고 Ian Fleming (007 영화의 작가) 의 격언을 따릅니다. " 한 번은 늘상 있는 일이고 두 번은 우연이며 세 번은 적의 행동입니다 . " 따라서 최근에 문제없이 CAN 프레임을 전송했고 최근에는 CAN 버스에서 이러한 유형의 비트 오류가 없었던 경우에만 스마트 키 CAN 프레임을 전달하도록 게이트웨이를 다시 프로그래밍할 수 있습니다. '최근'의 정의는 몇 초일 수 있으며, 이는 오탐 문제(실제로는 드물지만 실제 결함이 있었던 경우)를 해결할 수 있습니다. 운전자는 잠시 기다렸다가 다시 시도하면 됩니다.

이 빠르고 지저분한 수정은 CAN 인젝터를 변경하여 해결할 수 있습니다(방법은 공개하지 않습니다). 그러나 오늘날 CAN 인젝터가 작동하는 엄청나게 조잡한 방식으로 미루어 보면 새로운 개발은 신속하게 실시되지 않을 것임을 암시합니다. 이를 통해 자동차 제조업체는 적절한 수정 사항을 적용할 시간을 벌어야 합니다.

암호화 메시징을 통한 개선

CAN 주입 공격에 대한 적절한 솔루션은 CAN 또는 최소한 특정 CAN 버스의 특정 메시지에 대해 제로 트러스트 접근 방식을 채택하는 것입니다. 제로 트러스트 접근 방식은 ECU가 다른 ECU의 메시지를 자동으로 신뢰하지 않지만 메시지가 진짜라는 증거가 필요하다는 것을 의미합니다. 이에 대한 좋은 접근 방식은 HSM( 하드웨어 보안 모듈 )을 사용하는 것이며, 자동차 업계에서는 이에 대한 표준( Secure Hardware Extensions 또는 SHE라고 함)을 정의했습니다. 일반적으로 이는 하드웨어를 포함하는 칩을 사용하여 개조가 불가능하다는 것을 의미합니다. 다행스럽게도 HSM의 소프트웨어 에뮬레이션이 가능하며 Canis Labs는 SHE HSM에 대해 이를 수행했습니다. 여기에는 약 3KB의 코드와 200바이트의 RAM이 필요합니다. 그리고 소프트웨어를 사용하여 보호된 CAN 메시지를 인코딩하거나 디코딩하는 데는 약 40마이크로초의 CPU 시간이 소요됩니다. ECU 펌웨어에는 일반적으로 여유 메모리가 있으며 총 CPU 시간의 약 0.05%가 필요할 수 있습니다. 즉, 이를 새로운 펌웨어에 적용하는 것이 간단해야 합니다(사실 Canis Labs는 군용 차량 ECU에 대한 CAN 암호화 체계를 개조하기 위한 R&D 계약에 따라 미 육군과 성공적으로 협력해 왔습니다).

암호화를 사용하는 이러한 접근 방식은 빠르지만 더러운 개선보다 더 많은 변경을 의미합니다.

• 암호화 메시지는 인증 코드를 전달하기 위해 추가로 CAN 대역폭을 사용합니다( Canis Labs가 고안한 CryptoCAN 방식은 하나의 일반 텍스트 CAN 프레임을 전송할 때 한 쌍의 암호화된 CAN 프레임을 사용합니다.  다른 방식은 CAN 프레임 페이로드의 절반을 사용합니다).
• 각 차량이 서로 상이한 키를 사용하도록 ECU는 비밀 키(일반적으로 공장에서)를 내장해야 합니다(그렇지 않으면 CAN 인젝터 개발자는 차량 한 대를 구입하고 정교한 실험실 장비를 사용하여 키를 한 번 추출하여 다른 차량들에 사용할 수 있음). ECU를 교체하거나 다른 차량으로 이동해야 하는 경우 다른 ECU들에 저장된 키와 일치하는 새 키가 있어야 하므로 ECU의 키를 다시 설정해야 할 수도 있습니다.

첫 번째 변경은 수행하기에 그리 어렵지 않습니다. 왜냐하면 하나 또는 두 개의 CAN 프레임만 보호하면 되기 때문입니다(따라서 전체적으로 매우 적은 CAN 버스 대역폭만 필요함). 그러나 두 번째는 키 관리 및 배포 인프라를 구축해야 합니다(적어도 키를 기입하는 도구와 키를 저장하는 데이터베이스를 포함해야 함). SHE HSM 표준을 채택한다는 것은 적어도 이러한 도구가 표준화되어 있고 기성 솔루션이 가능하다는 것을 의미합니다. 그러나 자동차 제조업체는 수년에 걸쳐 차량 시스템을 변경할 때 신중하게 행동하는 법을 배웠습니다. 빠르고 간단해 보이는 변경이 그렇지 않은 경우가 많으며, 심지어 간단한 수정이라도 의도하지 않은 결과가 없는지 확인하기 위해 광범위한 테스트가 필요합니다. 따라서 이를 구현하는 데 시간이 좀 걸릴 것입니다.

다음 단계

Ian은 CAN 주입 공격에 대해 논의하고 도움을 제공하기 위해 토요타와 연락하려고 시도했지만 큰 성공을 거두지 못했습니다. 문제 중 하나는 어떤 대기업이라도 보안 문제에 대응하기 어렵다는 것입니다. 그리고 문제의 일부는 이것이 취약점 공개가 아니기 때문에 토요타에 있는 프로세스가 적절하지 않다는 것입니다. 일반적인 취약점 공개 프로세스는 윤리적인 해커가 범죄자가 잠재적으로 악용 할 수 있는 취약점을 발견 하고 공급업체에 연락하여 이를 수정할 시간을 갖는 것입니다. 이를 제로데이(Zero Day) 라고 합니다 (제조업체는 신속하게 조치를 취해야 하며, 최악의 경우 범죄자가 이를 악용하기 전에 해결 방법을 찾는 데 0일밖에 없기 때문입니다). CAN 주입 공격은 제로 데이가 아닙니다. 범죄자들이 이미 자동차를 훔치는 데 이를 악용하고 있기 때문에 마이너스 365일에 가깝습니다. (그리고 광범위하게요: 스마트 키 자동차 절도가 급증했으며 법 집행 기관에서는 이러한 공격이 평범한 릴레이 공격이라고 가정합니다.)  CAN 주입 공격을 설명하는 것이 범죄자가 이를 악용하게 될 위험은 없습니다. 그들은 이미 이 공격을 널리 악용하고 있으며 Ian의 자동차로 이를 악용한 것이 Ian이 디지털 과학수사 형사가 된 원인이었습니다.

차량 조사 관련

Ian은 실험실에 구성한 CAN 버스가 CAN 인젝터의 전체 동작을 정확하게 잡아냈는지 확인하기 위해 RAV4실차를 조사하려고 했습니다. 또한 조사를 통해 도구(오실로스코프 및 로직 분석기 포함)를 사용하여 실제 CAN 인젝터를 현장에서 테스트할 수 있습니다. 하지만 공격을 실시하면 적절한 공식 장비를 사용하여 재설정해야 하는 DTC에러 코드들이 발생하기 때문에 딜러 정비소와 자동차를 사용하지 않고서는 이 실험을 수행할 수 없습니다. 지금까지 조사는 불가능했습니다. CAN 주입 공격에 참여하려는 자동차 제조업체나 업계 기관은 언제든지 문의하시기 바랍니다.

공격기 펌웨어 리버스 엔지니어링

CAN 인젝터의 작동 방식에 대한 전체 분석에는 펌웨어 리버스 엔지니어링이 포함되어야 합니다. CAN 인젝터에 사용되는 PIC18F는 펌웨어가 판독되지 않도록 잠겨 있지만 해당 잠금을 해제할 수 있는 기술은 최소한 두 가지가 있습니다. 그러나 장치가 파손될 위험 없이는 둘 다 수행할 수 없으며 기술 중 하나에는 값비싼 전문 장비에 대한 접근이 필요합니다. 이는 아마추어 수색을 넘어 적절한 자원이 필요합니다. 이상적으로는 자동차 보안을 전담하는 업계 기관이 프로젝트를 맡아 도둑이 CAN 주입을 사용하는 방법을 이해하고 도둑을 물리칠 수 있는 가장 실용적인 방법을 채택하려는 자동차 제조업체의 중심이 될 것입니다.