Hackers kapen infotainmentsysteem Audi en Volkswagen
Twee ‘ethical hackers’ van online dienstverlener Computest zijn erin geslaagd om in te breken in het infotainmentsysteem van een Volkswagen Golf GTE en een Audi A3 Sportback e-tron. In beide gevallen gaat het om een systeem van leverancier Harman. De software in dit systeem is bij dit type niet op afstand te updaten.Lees hier het artikel over de invloed van connected cars op de aftermarket.
De hackers, Daan Keuper en Thijs Alkemade, security-specialisten en ethisch hackers bij Computest, konden via het infotainmentsysteem meeluisteren met gesprekken die de bestuurder via een carkit voert, de microfoon aan- en uit zetten en het volledige adresboek en de gespreksgeschiedenis inzien. Via het navigatiesysteem kon verder exact worden achterhaald waar de bestuurder is geweest en kan live gevolgd worden waar de auto zich op dat moment bevindt.Lees ook het Automotive-artikel ‘Apps geven hackers vrij spel’
Opgelost
Computest heeft het lek direct na de vondst gemeld bij de autofabrikant. De Volkswagen Group laat in een brief aan Computest weten dat de kwetsbaarheden inmiddels zijn opgelost door een update uit te voeren in het infotainmentsysteem. Dit betekent dat auto’s die sinds deze update zijn geproduceerd de gevonden kwetsbaarheden niet meer bevatten. Het lijkt er volgens Computest op dat auto’s die voor deze tijd zijn geproduceerd niet automatisch worden geüpdatet tijdens een servicebeurt bij de dealer en dus nog kwetsbaar zijn.
Pon is ook door Automotive om commentaar gevraagd.
Remmen en gas geven
De systemen waar Keuper en Alkemade toegang tot kregen zijn indirect verbonden met de systemen die ervoor zorgen dat je kunt remmen en gas geven. Hartger Ruijs, directeur en oprichter van Computest, besloot op dat punt het onderzoek te stoppen. “We geloven in de waarde van digitalisering en in de rol van de ethical hacker community bij het onderzoeken en aankaarten van de risico’s hiervan. Maar het moet wel verantwoord blijven. Als je de kwetsbaarheid van dit soort kritieke functies test ben je in feite illegaal bezig en maak je inbreuk op het intellectueel eigendom. Daar moet je echt heel voorzichtig mee omgaan. Zonder toestemming van de fabrikant doorgaan met het onderzoek was daarom voor ons geen optie”, zegt Ruijs.Tijdens het Kiwa-event ‘Gone in 20 seconds’ was veel aandacht voor autohackers.
Updaten
Hacker Keuper stelt dat zowel fabrikanten als bestuurders zich vaak niet bewust zijn van de risico’s van connected cars. “Het grootste probleem zijn de systemen van auto’s die al een aantal jaar op de markt zijn. Daarvan wordt de software zelden geüpdate. Daarmee zijn de systemen vrijwel altijd onvoldoende beveiligd.” Hij pleit dan ook voor een modernisering van het update-beleid door de auto-industrie. “Het zou voor consumenten makkelijker moeten worden om de software-systemen in hun auto te updaten naar de laatste versie zodat zij altijd beschermd zijn tegen de nieuwste bedreigingen. Dus in plaats van zelf proactief om een update te vragen bij de dealer, zouden consumenten deze automatisch over-the-air gepusht moeten krijgen, op dezelfde manier als bij een laptop of smartphone. Dit betekent echter ook dat fabrikanten systemen moeten selecteren waarbij dit mogelijk is.”ANWB kaartte deze week ook aan dat updates van navigatiesystemen onduidelijk en duur zijn.
