Kunnen hackers Ford- en Volkswagen-auto's overnemen en ook de privacy van eigenaren bedreigen?
We zullen het voor de hand liggende noemen als we zeggen dat auto's een lange weg hebben afgelegd, maar de veranderingen die auto's de afgelopen decennia hebben doorgemaakt, waren echt verbazingwekkend. Sommigen van u herinneren zich misschien bijvoorbeeld hoe dashboards er in de jaren negentig uitzagen. Je had een radio, knoppen voor de klimaatregeling en tal van andere knoppen en schakelaars die een breed scala aan vitale en niet-vitale functies bedienden. Op gloednieuwe auto's zijn de meeste hiervan vervangen door touchscreens die naast veel handige functies ook geweldige grafische afbeeldingen bieden. Heel wat mensen vergeten vaak wat er achter die schermen zit.
Het zogenaamde infotainmentsysteem is niet alleen verantwoordelijk voor de radio en de verwarming. Het is vaak het centrale onderdeel van een voertuigbreed netwerk van sensoren, systemen en elektronica. U kunt uw telefoon hierop aansluiten, u kunt hem aansluiten op uw Wi-Fi-thuisnetwerk en u kunt ook de firmware bijwerken. Je zult waarschijnlijk niet verbaasd zijn om te horen dat je er met de juiste vaardigheden en apparatuur ook in kunt hacken.
Beveiligingsonderzoekers steken gaten in moderne infotainmentsystemen
Zoals we allemaal weten, moet je aan een aantal zeer strikte regels voldoen als je een auto wilt bouwen en verkopen. De meeste systemen in een auto moeten aan specifieke eisen voldoen en hele instanties zijn toegewijd om ervoor te zorgen dat iedereen zich aan de regels houdt. Met de technologie aan boord denkt men echter een stuk losser, en een Britse consumentengroep met de naam Welke? besloten om te kijken wat voor impact dit zou kunnen hebben op de beveiliging van moderne auto's.
Welke? kocht een paar auto's, een Ford Focus en een Volkswagen Polo, en overhandigde ze aan cybersecurity-experts van Context Information Security. De modellen zijn niet gekozen omdat Welke? had iets tegen Ford of Volkswagen, maar omdat de Focus en de Polo tot de best verkochte auto's van Groot-Brittannië behoren. Het experiment zou veel mensen moeten betreffen en helaas zijn de resultaten niet schitterend.
Zodra ze de infotainmentsystemen nader gingen bekijken, merkten de experts een paar in het oog springende problemen op. Door het gebruik van oude bibliotheken beschikten de onderzoekers in sommige gevallen over gemakkelijk beschikbare exploits en bekende kwetsbaarheden waardoor ze door het zenuwstelsel van de auto konden snuffelen. In het geval van de Polo wisten ze een manier te vinden om het tractiecontrolesysteem van de auto uit te schakelen - een cruciale beveiligingsfunctie die levens kan redden. Bovendien kan een kwetsbaarheid met de sleutelhanger van Volkswagen hackers mogelijk in de auto laten inbreken zonder een spoor achter te laten.
Bij het onderzoeken van de Focus realiseerden ze zich dat ze het signaal van het bandenspanningscontrolesysteem van de auto konden onderscheppen en de bestuurder valse informatie konden geven, wat een ander potentieel veiligheidsrisico is. De problemen zijn ook niet beperkt tot het fysieke welzijn van chauffeurs en passagiers.
Gehackte infotainmentsystemen kunnen wifi-wachtwoorden, locatiegeschiedenis en andere persoonlijke gegevens onthullen
Terwijl ze de firmware van de Focus aan het onderzoeken waren, waren de onderzoekers nogal geschokt toen ze het wifi-wachtwoord voor de assemblagefabriek van Ford in Detroit vonden. Deze ontdekking stuurde de onderzoekers een heel ander konijnenhol in, en het is redelijk om te zeggen dat ze niet bevonden wat ze vonden. Ze zeiden dat een hacker slechts vijf minuten toegang tot uw auto nodig zou hebben om een groot aantal persoonlijke informatie zoals telefooncontacten en locatiegeschiedenis te extraheren. Tijdens het experiment kochten de onderzoekers ook een tweedehands infotainmentsysteem voor de Polo, en daarin vonden ze gegevens van de vorige eigenaar. De details omvatten contacten, fysieke locatie en zelfs wifi-wachtwoorden voor thuis.
Het oplossen van de problemen zal moeilijk worden, maar aan de positieve kant sprak Volkswagen de intentie uit om de problemen nader te analyseren en in de toekomst naar een oplossing te zoeken. Ford zou het technische rapport daarentegen niet eens accepteren.
Dit bevestigt de angsten van Welke? Het is onwaarschijnlijk dat autofabrikanten strikte beveiligingsregels volgen bij het implementeren van technologie aan boord, tenzij ze daartoe worden gedwongen. Consumenten kunnen niet veel meer doen dan hopen dat toezichthouders snel zullen ingrijpen.
