Niet alleen je computer en telefoon, maar ook je auto kan gehackt worden. In het infotainmentsysteem dat in diverse modellen van de Volkswagen Group gebruikt wordt zitten bijvoorbeeld kwetsbaarheden. Dat ontdekten ethische hackers van Computest (pdf).
De hackers konden op afstand toegang krijgen tot het systeem, waardoor de privacy van bestuurders ernstig geschaad kan worden. Kwaadwillenden kunnen bijvoorbeeld meeluisteren met gesprekken die je via een carkit voert. Ook kunnen ze de microfoon aan- en uitzetten, het volledige adresboek bekijken en de gespreksgeschiedenis inzien.
De kwetsbaarheid laat hackers bovendien via het navigatiesysteem achterhalen waar je precies geweest bent. Daarnaast kunnen ze live volgen waar de auto nu is.
Harman
Het onderzoek werd uitgevoerd door de ethische hackers Daan Keuper en Thijs Alkemade van Computest. Zij concentreerden zich tijdens het onderzoek op kwetsbaarheden in een Volkswagen Golf GTE en een Audi A3 Sportback e-tron. Beide auto’s komen uit het bouwjaar 2015. De auto’s hebben ook verschillende versies van een infotainmensysteem van Harman.
De ethische hackers konden zowel in de auto via onder meer een USB-stick als op afstand toegang krijgen tot de administratieve rechten van het systeem. Daarmee krijg je de controle over de speakers, de microfoon en het navigatiesysteem. Ook kregen ze toegang tot systemen die indirect verbonden zijn met systemen waarmee je kunt remmen en gas geven.
Op dat punt besloot Hartger Ruijs, directeur en oprichter van Computest, om het onderzoek te stoppen.”We geloven in de waarde van digitalisering en in de rol van de ethical hacker community bij het onderzoeken en aankaarten van de risico’s hiervan. Maar het moet wel verantwoord blijven.”
Risico’s
Keuper pleit voor een modernisering van het update-beleid door de auto-industrie. Op dit moment is er namelijk geen updatemechanisme om de systemen op afstand te updaten.
“Internetconnectiviteit is een populaire functionaliteit in auto’s, maar brengt ook risico’s mee waarvan zowel de verantwoordelijke fabrikant als de betrokken bestuurder zich niet altijd bewust zijn. Het grootste probleem zit hem daarbij vooral in de systemen van auto’s die al een aantal jaar op de markt zijn. Deze software wordt zelden geüpdatet. Daarmee zijn de systemen vrijwel altijd onvoldoende beveiligd. Als je ervan uitgaat dat een auto gemiddeld 18 jaar is als deze naar de sloop wordt gebracht, dan zijn er nog heel wat jaren waarin kwaadwillenden hier misbruik van kunnen maken.”
“Het zou voor consumenten makkelijker moeten worden om de software-systemen in hun auto te updaten naar de laatste versie zodat zij altijd beschermd zijn tegen de nieuwste bedreigingen”, aldus Keuper. “Dus in plaats van zelf proactief om een update te vragen bij de dealer, zouden consumenten deze automatisch over-the-air gepusht moeten krijgen, op dezelfde manier als bij een laptop of smartphone.”
Lek gemeld
Computest heeft het lek gemeld bij de autofabrikant. In een brief laat de Volkswagen Group weten dat de kwetsbaarheden nu zijn opgelost met een update. Auto’s die sinds deze update geproduceerd zijn, hebben de gevonden kwetsbaarheden niet meer.
Auto’s die echter voor die tijd geproduceerd zijn, worden mogelijk niet automatisch geüpdatet bij een servicebeurt bij de dealer. Die zijn dus nog steeds kwetsbaar.