Security Analysis of Volvo’s Infotainment System

Ismail, Dana, Aslan, Porsev

January 2022

Today’s car development is progressing rapidly, and new car models are constantly being produced. These new vehicles are adapted to today’s digital society and all its needs. An important issue is how well security is involved in this technological development. With all these successes, there are also possible vulnerabilities. Thus, the cybersecurity aspect is a crucial part in the development of modern vehicles due to possible exploitation that have taken place and can take place in the future. The main problem researched within this thesis was to investigate the safety of Volvo’s Vehicle Infotainment System (IV). To analyze such a complex system, a threat model was created by gathering necessary data, inspecting a physical rig sent by the manufacturer, and receiving feedback from industry experts. Furthermore, several attack simulations were performed on the threat model, generating several attack paths and probabilistic graphs that were analyzed. This work resulted in a threat model that represented the physical IV. The model included identifications of interesting entry points from which an attacker can start different attacks. After investigation, the Bluetooth network and the operating system of the Infotainment Head Unit (IHU) were both chosen as entry points for the attack simulations. The attack simulations made on the model were tested in different scenarios because this resulted in a more comprehensive outcome. The results of the attack simulations were that in comparison to a low- security scenario, the high-security cases decreased the success rate of compromising the targeted asset. However, enabling every possible defenses, there were no attack paths generated, but the results showed that an attacker still can perform other sorts of attacks. It is concluded that if one assumes that the threat model within this work is somewhat identical to the physical IV, there is a possibility of exploiting vulnerabilities if not all defenses are enabled for all components. These results are sought to increase the relevancy of the cybersecurity aspects within the vehicle industry, especially on infotainment systems. / Dagens bilutveckling går snabbt framåt och nya bilmodeller produceras ständigt. Dessa nya fordon är anpassade till dagens digitala samhälle och alla dess behov. En viktig fråga är hur väl säkerheten är involverad i denna tekniska utveckling. Med alla dessa framgångar finns det också möjliga sårbarheter. Därför är cybersäkerhetsaspekten en viktig del i utvecklingen av moderna fordon på grund av möjliga utnyttjanden som har skett och kan ske i framtiden. Huvudproblemet som undersöktes inom ramen för denna avhandling var att undersöka säkerheten hos Volvos infotainmentsystem. För att analysera ett så komplext system skapades en hotmodell genom att samla in nödvändig data, inspektera en fysisk rigg som skickats av tillverkaren och få feedback från branschexperter. Dessutom utfördes flera attacksimuleringar på hotmodellen, vilket genererade flera attackvägar och probabilistiska grafer som analyserades. Detta arbete resulterade i en hotmodell som representerade det fysiska infotainmentsystemet. Modellen innehöll identifieringar av intressanta ingångspunkter från vilka en angripare kan starta olika attacker. Efter undersökning valdes Bluetooth-nätverket och operativsystemet för IHU som ingångspunkter för attacksimuleringarna. De angreppssimuleringar som gjordes på modellen testades i olika scenarier eftersom detta gav ett mer omfattande resultat. Resultaten av angreppssimuleringarna var att i jämförelse med ett scenario med låg säkerhet, minskade högsäkerhetsfallet framgångsfrekvensen för att lyckas med attacken. Om alla tänkbara försvarsmekanismer aktiverades genererades inga angreppsvägar, men resultaten visade att en angripare fortfarande kan utföra andra typer av angrepp. Slutsatsen är att om man antar att hotmodellen inom detta arbete är något identisk med den fysiska infotainmentsystemet, finns det en möjlighet att utnyttja sårbarheter om inte alla försvar är aktiverade för alla komponenter. Dessa resultat syftar till att öka relevansen av cybersäkerhetsaspekterna inom fordonsindustrin, särskilt när det gäller infotainmentsystem.

Threat Modeling

Attack Simulations

Risk Analysis

Cybersecurity

Infotainment System

Vehicle Security

Hotmodeller

Attacksimuleringar

Riskanalys

Cybersäkerhet

Infotainmentsystem

Fordonssäkerhet

Computer Engineering

Datorteknik

Inteligentní monitorovací zařízení / Intelligent monitoring device

Nosek, Zdeněk

January 2008

This master thesis discusses design and realization of a security device for vehicles. This device can determine its actual location, discover unauthorized trespass and send information about this to a distant master system too. This distant master system can show the exact position of the security device on a map. The hardware and software for this security device and the software for the master system are described in this paper.

The Resilience of Deep Learning Intrusion Detection Systems for Automotive Networks : The effect of adversarial samples and transferability on Deep Learning Intrusion Detection Systems for Controller Area Networks / Motståndskraften hos Deep Learning Intrusion Detection Systems för fordonsnätverk : Effekten av kontradiktoriska prover och överförbarhet på Deep Learning Intrusion Detection Systems för Controller Area Networks

Zenden, Ivo

January 2022

This thesis will cover the topic of cyber security in vehicles. Current vehicles contain many computers which communicate over a controller area network. This network has many vulnerabilities which can be leveraged by attackers. To combat these attackers, intrusion detection systems have been implemented. The latest research has mostly focused on the use of deep learning techniques for these intrusion detection systems. However, these deep learning techniques are not foolproof and possess their own security vulnerabilities. One such vulnerability comes in the form of adversarial samples. These are attacks that are manipulated to evade detection by these intrusion detection systems. In this thesis, the aim is to show that the known vulnerabilities of deep learning techniques are also present in the current state-of-the-art intrusion detection systems. The presence of these vulnerabilities shows that these deep learning based systems are still to immature to be deployed in actual vehicles. Since if an attacker is able to use these weaknesses to circumvent the intrusion detection system, they can still control many parts of the vehicles such as the windows, the brakes and even the engine. Current research regarding deep learning weaknesses has mainly focused on the image recognition domain. Relatively little research has investigated the influence of these weaknesses for intrusion detection, especially on vehicle networks. To show these weaknesses, firstly two baseline deep learning intrusion detection systems were created. Additionally, two state-of-the-art systems from recent research papers were recreated. Afterwards, adversarial samples were generated using the fast gradient-sign method on one of the baseline systems. These adversarial samples were then used to show the drop in performance of all systems. The thesis shows that the adversarial samples negatively impact the two baseline models and one state-of-the-art model. The state-of-the-art model’s drop in performance goes as high as 60% in the f1-score. Additionally, some of the adversarial samples need as little as 2 bits to be changed in order to evade the intrusion detection systems. / Detta examensarbete kommer att täcka ämnet cybersäkerhet i fordon. Nuvarande fordon innehåller många datorer som kommunicerar över ett så kallat controller area network. Detta nätverk har många sårbarheter som kan utnyttjas av angripare. För att bekämpa dessa angripare har intrångsdetekteringssystem implementerats. Den senaste forskningen har mestadels fokuserat på användningen av djupinlärningstekniker för dessa intrångsdetekteringssystem. Dessa djupinlärningstekniker är dock inte idiotsäkra och har sina egna säkerhetsbrister. En sådan sårbarhet kommer i form av kontradiktoriska prover. Dessa är attacker som manipuleras för att undvika upptäckt av dessa intrångsdetekteringssystem. I det här examensarbetet kommer vi att försöka visa att de kända sårbarheterna hos tekniker för djupinlärning också finns i de nuvarande toppmoderna systemen för intrångsdetektering. Förekomsten av dessa sårbarheter visar att dessa djupinlärningsbaserade system fortfarande är för omogna för att kunna användas i verkliga fordon. Eftersom om en angripare kan använda dessa svagheter för att kringgå intrångsdetekteringssystemet, kan de fortfarande kontrollera många delar av fordonet som rutorna, bromsarna och till och med motorn. Aktuell forskning om svagheter i djupinlärning har främst fokuserat på bildigenkänningsdomänen. Relativt lite forskning har undersökt inverkan av dessa svagheter för intrångsdetektering, särskilt på fordonsnätverk. För att visa dessa svagheter skapades först två baslinjesystem för djupinlärning intrångsdetektering. Dessutom återskapades två toppmoderna system från nya forskningsartiklar. Efteråt genererades motstridiga prover med hjälp av den snabba gradient-teckenmetoden på ett av baslinjesystemen. Dessa kontradiktoriska prover användes sedan för att visa nedgången i prestanda för alla system. Avhandlingen visar att de kontradiktoriska proverna negativt påverkar de två baslinjemodellerna och en toppmodern modell. Den toppmoderna modellens minskning av prestanda går så högt som 60% i f1-poängen. Dessutom behöver några av de kontradiktoriska samplen så lite som 2 bitar att ändras för att undvika intrångsdetekteringssystem.

Vehicle Security

Deep Learning

Controller Area Network

Intrusion Detection System

Adversarial Samples

Fordonssäkerhet

Deep Learning

Controller Area Network

Intrusion Detection System

kontradiktoriska prover

Computer and Information Sciences

Data- och informationsvetenskap

Human Factors in Automotive Crime and Security / Menschliche Faktoren der Fahrzeugkriminalität und -Sicherheit

Tuchscheerer, Sven

20 July 2011

Als vor 120 Jahren, am 5. August 1888, Bertha Benz eine 106 Kilometer lange Fahrt mit dem Prototypenfahrzeug ihres Mannes Carl Benz unternahm legte sie den Grundstein für die erste Überlandfahrt mit einem Benzinautomobil überhaupt. Damit trug sie wesentlich zum Abbau von Vorurteilen in der Gesellschaft gegenüber Benzinfahrzeugen bei und verhalf der Firma ihres Mannes zum Erfolg. Gleichzeitig beging sie auch den ersten dokumentierten Fahrzeugdiebstahl, da die Nutzung ohne das Wissen ihres Mannes erfolgte. Strafrechtliche Sanktionen musste Frau Benz nicht fürchten, schließlich war dieser Fall durchaus von Vorteil für die Vermarktung. Das erkannte auch Herr Benz und verzichtete auf eine Anzeige. Am 23.12.2008 wurde ein PKW Toyota Landcruiser gegen 01:20 Uhr an der Landstrasse L46 zwischen Herforst und Rothaus gefunden. Der Täter, welcher das Fahrzeug am 17.12.2008 bei einem Bauunternehmer stahl, stellte es – vermutlich auf Grund von Treibstoffmangel – dort ab. Ihm drohen bis zu drei Jahren Haft und / oder eine Geldstrafe. Am 24.02.2008 schrieb eine Benutzerin namens Kitty in einem Internetforum zum Thema Erfahrungen mit Autodiebstahl: „…mir hat man nur bei meinem jetzigen Fahrzeug schon die Nummernschilder geklaut, was mich dann 80 Euro gekostet hat.“ ('AW: Auto geklaut', 2008). Diese drei Beispiele repräsentieren ansatzweise, wie vielfältig die Fälle sind, welche gemeinhin unter dem Begriff Fahrzeugkriminalität gefasst werden. Sie unterscheiden sich hinsichtlich der Motive der Täter, dem Besitzer zugefügten Schaden oder den strafrechtlichen Konsequenzen. Zusätzlich zu dieser Vielfalt ist die Fahrzeugkriminalität dem Einfluss der Zeit unterworfen, in Bezug auf die Anzahl im Verkehr befindlicher Fahrzeuge, deren Nutzung, deren Diebstahlschutzvorrichtung oder Vorgehen der Täter. Somit ist das Konstrukt Fahrzeugkriminalität durch einen hohen Komplexitätsgrad gekennzeichnet. Aus dieser Komplexität heraus begründet sich das fundamentale Ziel der vorliegenden Arbeit, eine detaillierte und systematische Beschreibung von Fahrzeugkriminalität zu geben. Darauf aufbauend werden Ursachen- und Wirkungszusammenhänge identifiziert, beschrieben und in einem numerischen Relativ abgebildet. Dabei wird ein ganzheitlicher Ansatz verfolgt, in Abgrenzung zu bisherigen wissenschaftlichen Arbeiten, welche einen Erkenntnisgewinn zur Beschreibung, Erklärung und Vorhersage von Fahrzeugkriminalität für einen mehr oder weniger eng umschriebenen Teilaspekt leisten. In diesem Ansatz werden gezielt psychologische Aspekte in den Fokus gestellt und mit gesellschaftlichen, technischen, legislativen, judikativen und exekutiven Rahmenfaktoren in Beziehung gesetzt. Damit kann der Arbeit ein wissenschaftlicher Erkenntnisgewinn im Sinne einer ganzheitlichen Analyse beigemessen werden, in den Ansätze zur Beschreibung und Erklärung separater Aspekte integriert und bewertet werden können. Eine – damit eng verknüpfte – Voraussetzung ist die Entwicklung und Evaluation von Untersuchungsmethoden um die relevanten Aspekte in den beteiligten Personengruppen so detailliert und umfassend wie zur Erklärung nötig sowie so ökonomisch wie möglich zu erfassen. Im Zentrum der Betrachtung steht die Interaktion zwischen den beiden hauptsächlich beteiligten Personengruppen: Fahrzeugbesitzer und Täter. Betrachtete Aspekte in diesen Gruppen sind neben Motiven, Risiko- und Gewinneinschätzungen auch Faktoren wie finanzieller Konnex oder Ausstattung mit Sicherheitstechnik, bzw. Werkzeug zu dessen Überwindung, Furcht vor Fahrzeugkriminalität oder finanzielle und zeitliche Schäden durch Fahrzeugkriminalität.:1. Zielstellung der Arbeit 7 1.1 Aufbau und Grundstruktur der Arbeit 8 2. Definition und Abgrenzung von Fahrzeugkriminalität 10 2.1 Gegenstandsbereich 10 2.2 Historische Entwicklung der Fahrzeugkriminalität 12 2.3 Formen von Fahrzeugkriminalität und beteiligte 13 Personen (~Gruppen) 13 2.3.1 Formen der Fahrzeugkriminalität 13 2.3.2 Fahrzeugdelikte und deren Einordnung in die Deutsche Rechtssprechung 16 Diebstahl 17 Unterschlagung 18 Betrug / Betrügerisches Erlangen 18 Räuberischer Diebstahl und Erpressung, Raub, Räuberischer Angriff auf Kraftfahrer 19 Hehlerei 20 Sachbeschädigung, Vandalismus 21 Vortäuschen einer Straftat 22 2.3.3 Beteiligte Personen (~Gruppen) 23 Täter 24 Fahrzeugbesitzer 25 Polizei, Gerichte, Gesetzgebung 26 Versicherungen 27 Hersteller von Sicherungssystemen 27 2.3.4 Statistische Einordnung in die Gesamtkriminalitätsbelastung 28 Datengrundlage 28 Diebstahl in und aus KFZ 30 Diebstahl an KFZ 31 Unterschlagung 32 Betrug 33 Raub 33 Sachbeschädigung von und an KFZ 34 3. Fahrzeugkriminalität aus Perspektive der Fahrzeugbesitzer 36 3.1 Erfassung von Fahrzeugkriminalität 36 3.1.1 Relevante Aspekte der Fahrzeugkriminalität aus Besitzerperspektive 37 3.1.2 Auswahl und Operationalisierung der Aspekte 40 3.2 Furcht vor Fahrzeugkriminalität: Untersuchung an Oberklassefahrern 41 3.2.1 Theoretische Fundierung und Hypothesen 41 Demographische Merkmale 45 Erfahrungen mit Kriminalität 46 Nutzungsspezifische Faktoren 47 Screening des allgemeinen Angstniveaus 47 3.2.2 Durchführung, Operationalisierung und Methodik des Fragebogens zur Kriminalitätsfurcht bei Oberklassefahrern 49 3.2.3 Auswertung und Ergebnisse: Fragebogendaten 51 Konative Kriminalitätsfurcht 54 3.2.4 Fundierung und Operationalisierung der Strukturlegetechnik 55 3.2.5 Durchführung der Strukturlegetechnik 58 3.2.6 Auswertung und Ergebnisse der Strukturlegetechnik 58 3.2.7 Zusammenfassung der Ergebnisse aus der Untersuchung zur Furcht 61 3.3 Die Kosten von Fahrzeugkriminalität 63 3.3.1 Ziel der zweiten Untersuchung 63 Ergänzender theoretischer Hintergrund 63 3.3.2 Methode und testtheoretischer Kontext 64 3.3.3 Konstruktion des Fragebogens: Faktoren, Variablen und Skalen 65 3.3.4 Durchführung, Datenerhebung und –Strukturierung 70 Beschreibung des Datensatzes 70 3.3.5 Modellkonstruktion 71 Schritte der Modellierung 74 3.3.6 Modellgüte und Beurteilung der Gesamtstruktur (Validität) 77 3.3.7 Modellinterpretation und Beschreibung der Kausalzusammenhänge 79 Stellenwert des Fahrzeuges im Leben 80 Stellenwert des Fahrzeuges im Leben 81 Bedingte Wahrscheinlichkeit für einen Schaden durch Fahrzeugkriminalität 81 Allgemeine Risikoeinschätzung 81 Furcht vor Fahrzeugkriminalität 82 Finanzieller Schaden 83 4. Fahrzeugkriminalität aus Perspektive der Täter 85 4.1 Motivation, theoretische Fundierung und Forschungsfragen 85 Sozialisation und lerntheoretische Verständnisebene 86 Motive 86 Tatausführung: Deklaratives, prozedurales Wissen und Werkzeug 87 Tatausführung: Wiederholung einer Tat 87 Kosten-Nutzen-Abschätzung durch Täter 90 Planungspyramide kriminellen Handelns 90 Persönlichkeitseigenschaft: Empathie 92 4.2. Methode und Durchführung der Täterbefragung 93 4.2.1 Methode 93 Attributionsstilfragebogen für Erwachsene (ASF-E) 93 Interpersonal-Reactivity-Index (IRI) 94 4.2.2 Durchführung 95 Beschreibung der Stichprobe 95 Ablauf der Befragung 97 4.3 Ergebnisse der Täterbefragung 97 Sozialisation und lerntheoretische Verständnisebene 98 Motive 99 Tatausführung: Deklaratives, prozedurales Wissen und Werkzeug 100 Tatausführung: Wiederholung einer Tat 103 Kosten-Nutzen-Abschätzung durch Täter 108 Planungspyramide kriminellen Handelns 112 Einschätzungen zu Sicherungssystemen 113 Persönlichkeitseigenschaft: Empathie 115 5. Integrative Betrachtung der Besitzer- und Täterperspektive 120 5.1. Persönliche Unversehrtheit vs. finanzielles Interesse 120 5.2. Finanzieller Schaden 121 5.3. Die Rolle von Sicherheitssystemen: Restriktions- Präventionsdilemma 123 6. Fazit 129 6.1 Besitzer 129 Stellenwert des Fahrzeuges im Leben 129 Bedingte Wahrscheinlichkeit für einen Schaden durch Fahrzeugkriminalität 130 Furcht vor Fahrzeugkriminalität 130 Finanzieller Schaden 131 6.2 Täter 132 6.3 Integrative Betrachtung: Besitzer – Täter – Kontext 133 Die Rolle von Sicherheitssystemen: Restriktions- Präventionsdilemma 134 Interaktionsmatrix: Beteiligte Personen(~gruppen) 135 7. Ausblick 137 8. Literaturverzeichnis 139 9. Verzeichnisse 148 9.1 Tabellenverzeichnis 148 9.2 Abbildungsverzeichnis 149 9.3 Anhangsverzeichnis 150 10. Anhang 151 10.1 Fahrzeugzusammensetzung in Deutschland 151 10.2 Auflistung aller - in der Oberklassefahrerstudie - untersuchten Faktoren und Variablen (Faktoren Kriminalitätsfurcht) 156 10.3 State - Trait Angstinventar (STAI) 158 Beschreibung des State - Angst - Screenings 158 Normtabelle 160 10.4 Fragebogen der ersten Untersuchung (40 Oberklassefahrer) 161 10.5 Kartenübersicht der Heidelberger Strukturlegetechnik 166 10.6 Gewünschte Schutzsysteme (Oberklassefahreruntersuchung) 171 10.7 Online - Fragebogen und Gütekriterien der verwendeten Skalen 172 10.8 Täterbeschreibungen 182 10.9 Rangsummenstatistik und Syntax: MANOVA (Oberklassefahrerstudie) 193 10.10 Auswahl und Beschreibung der Funktion mechanischer, elektrischer 197 und elektronischer automotiver Sicherungssysteme 197 Türen, Klappen und Schlösser 197 Alarmanlagen 198 Elektronische Wegfahrsperren 198 Trackingsysteme 202 Präventive Navigation 203 Anbindung des Fahrzeuges an einen Server 203 Biometrische Erkennung, biometrische Fahreridentifikation 204 10.11 Interviewleitfaden der Täterbefragung 206 10.12 Attributionsstile Fragebogen für Erwachsene (ASF-E) - verwendete 235 Kurzversion 235 10.13 Interpersonal Rectivity Index (IRI) - verwendete, modifizierte Version 238 10.14 Einschätzung - von der Teilkaskoversicherung - abgedeckter Schäden 240 10.15 Ergebnistabelle und Syntax: MANOVA (Oberklassefahrerstudie) 241

info:eu-repo/classification/ddc/364

ddc:364

info:eu-repo/classification/ddc/388

ddc:388

info:eu-repo/classification/ddc/620

ddc:620