Het is onderzoekers van beveiligingsbedrijf Argus Cyber Security gelukt om de motor van een rijdende auto uit te schakelen. De onderzoekers vonden een beveiligingslek in de Android-app en een dongel van fabrikant Bosch.
Gebruikers kunnen die dongel in hun voertuig steken, waarna het apparaat via bluetooth informatie over het gebruik van de auto naar een smartphone stuurt. Zij moeten daarvoor de app van het Drivelog-platform downloaden. Om succesvol gegevens uit te wisselen tussen de dongel en de smartphone, moet de gebruiker een pincode invoeren.
Daar zit de kwetsbaarheid. Zodra iemand verbinding maakt met de dongel, heeft die persoon voldoende informatie om het apparaat te kraken. Dat kan zelfs offline, schrijven de onderzoekers van Argus Cyber Security. Die persoon hoeft er alleen nog maar achter te komen wat de pincode is.
Die pincode heeft acht cijfers, wat betekent dat er 100 miljoen mogelijke pincodes bestaan. Met de juiste apparatuur zou een hacker de pincode in slechts 30 minuten kunnen kraken. Door middel van een andere kwetsbaarheid is het vervolgens mogelijk om berichten, via de dongel, naar het voertuig te sturen. Daarvoor moet de hacker wel een bluetooth-verbinding met de dongel maken en dus fysiek in de buurt zijn.
‘Gaat veel goed’
Hoewel het de onderzoekers van Argus gelukt is om een kwetsbaarheid te vinden, schrijven zij dat er op het gebied van online beveiliging ook veel goed gaat in het Drivelog-platform van Bosch.
De onderzoekers hebben de informatie al in februari met de fabrikant gedeeld, waarna beide partijen aan een oplossing hebben gewerkt.