Hacker kon tienduizenden auto’s op afstand uitschakelen

Auteur: , 28 Reacties

Nee, dan voel je je veilig.

Hacker kon tienduizenden auto's op afstand uitschakelen

Een hacker die zichzelf L&M noemt heeft recentelijk een tweetal apps weten te kraken en uitgevonden dat hij daarmee tienduizenden auto’s tegelijk uit kan schakelen. Door een combinatie van slechte beveiliging en belachelijk eenvoudige wachtwoorden zijn niet alleen de gegevens van de gebruikers van de apps kwetsbaar, ook zijzelf kunnen in gevaar komen.

Verdeeld over de apps iTrack en ProTrack wist de hacker toegang te krijgen tot bijna 30.000 accounts. De hacker kreeg het idee de kwetsbaarheid van de apps te controleren toen hij ontdekte dat gebruikers het wachtwoord ‘123456’ worden gegeven wanneer ze zich inschrijven bij de dienst. Door een script te schrijven dat miljoenen gebruikersnamen automatisch laat inloggen met dit wachtwoord, kreeg hij toegang tot ongeveer 7.000 accounts van iTrack en 20.000 accounts van ProTrack.

Vervolgens kreeg hij allerlei data van iTrack en ProTrack, beide apps die door bedrijven worden gebruikt om d.m.v. gps-tracking te monitoren waar hun auto’s rijden, in handen. Zo kon de hacker bijvoorbeeld zien in welke auto’s de gebruikers reden en welk gps-systeem zij aan boord hadden. Ook de echte namen van de gebruikers, evenals hun telefoonnummers, adres- en emailgegevens kon hij inzien.

Afgezien van het feit dat de hacker toegang had tot een bootlading aan gegevens, kon hij ook met de auto zelf aan de haal gaan. Hoewel L&M in een reactie aan Motherboard liet weten niet over te zijn gegaan tot dergelijke gevaarlijke praktijken, was hij in staat aan te tonen dat hij de motoren van tienduizenden auto’s op afstand kon uitschakelen – zelfs als de auto’s met een snelheid van minder 20 km/u aan het rijden waren.

Ondertussen hebben de ontwikkelaars van de apps weinig ingrijpende veranderingen aangebracht. Het standaardwachtwoord wordt vooralsnog uitgedeeld aan gebruikers, al worden ze nu wel aangeraden deze zo spoedig mogelijk te veranderen.

Met dank aan Maurice voor de tip!



28 reacties

Haha probeer dat maar eens bij mij auto hackerboy! E36 schakelt jou uit!
@e36thuglife:

Komt omdat je pixels op zijn ..
@e36thuglife: is dit uitnodiging? Kan wel een mooie E gebruiken
Blij met m’n oude meuk! Dit is toch niet best zeg…
Plaatje van The Matrix. Gave film was dat! :-)
@punicaoase: was is en zal zo blijven. Die zouden ze nog eens op Netflix moeten gooien! OT: waarom laten ze niet rechtstreeks zelf een wachtwoord kiezen gelijk miljoenen andere apps? Logica is ver te zoeken.
Zo zie je maar dat de gemiddelde consument de zwakste schakel is in iedere beveiligingsketen. Als je denkt dat een simpel wachtwoord niet geraden (want hier is niet echt sprake van hacken) kan worden, verdien je het bijna om slachtoffer te worden. Bijna hé. Ik keur dit soort acties niet goed, tenzij het doel is om zwakheden aan te tonen zodat de fabrikant het kan fixen.
@sirprize: Maar we weten inmiddels allang hoe de gemiddelde gebruiker werkt. Dus waarom pakken bedrijven het zo aan?

Zeker als je bedenkt dat het een platform is wat (uiteindelijk) toegang biedt tot zelfs het uitzetten van de auto.

Daar hangen wat systemen aan elkaar die ik strict gescheiden zou houden. Dat kun je technisch ook gewoon scheiden. Alleen dat gaat ten koste van wat features, zoals je auto op afstand uitzetten als je weet dat hij gestolen is etc.
@fanboy: omdat “security by design” bijna nergens standaard is. Het kost een hoop kennis en expertise, en die is schaars en dus duur. Simpele kosten-batenanalyse.
@sirprize: uhm nee, het is de leverancier die dit mogelijk maakt. Kijk maar de telefoonproviders. Tmobile is de enige die zijn simkaarten niet met de standaard, 0000, code levert.
@diablogt: de gebruiker kiest een wachtwoord, niet de software-obtwikkelaar
@sirprize: niet alleen de consument is een zwakke schakel. Ook de beveiliging van apparaten is vaak zwak. Vooral omdat bijna geen gewone consument weet hoe je een update moet uitvoeren of een wachtwoord moet wijzigen. Eigenlijk zou je niks aan het internet moeten willen hebben. Telefoon, computer en tv kastje wat aan je domme tv zit. Dat is meer dan genoeg.
@lekbak: daar heb je gelijk in, maar in dit geval gaat het vooral om zwakke wachtwoorden die eenvoudig te raden zijn. Zelfs met de strengste beveiliging kom je binnen bij iemand die onzorgvuldig met zijn huissleutel omgaat.
@sirprize: wij hebben WiFi thuis via zo’n alles in één kastje. Ik zou echt niet weten hoe ik daar het wachtwoord van moet wijzigen dus ik ben volledig afhankelijk van de aanbieder. En helaas ben ik dus niet de uitzondering, dat is diegene die wel weet hoe het moet.

Het is dus geen kwestie van goed of slecht met je huissleutel omgaan. Het is een kwestie van een goede sleutel krijgen. Hier is een schroevendraaier als sleutel uitgedeeld aan een groep mensen die geen verstand van sloten hebben, maar waar wel van word verwacht dat ze bij een bouwmarkt ff een nieuw goed slot halen en monteren. Dat kan gewoon niet.
@lekbak: niet eens. Bij dat kastje zit gewoon een handleiding. Maar die moet je wel lezen en bewaren.
@sirprize: je hebt met consumenten te maken, die kunnen niks. Het moet gewoon direct goed beveiligd zijn. Een handleiding is 9 vd 10 keer ook onbegrijpelijk, die zijn namelijk geschreven door mensen die het al snappen.

Daarbij hebben de meeste consumenten zelfs geen idee dat ze er naar moeten kijken. En dat zou ook niet hoeven, ze hebben een product gekocht wat gewoon moet werken. Daar hebben ze voor betaald. Helaas denkt de ICT sector als een van de weinige dat dit niet zo werkt.

Begrijpelijk want er is lekker veel geld te verdienen aan consumenten die het niet snappen…
@lekbak: “het moet gewoon werken” is een mentaliteitsorobleem en geen softwareprobleem. Ja, sommige handleidingen kunnen gebruiksvriendelijker, maar de meeste moderne handleidingen (neem die van Ikea en Ziggo) zijn zo geschreven dat een 8-jarige het nog begrijpt. Je kunt de verantwoordelijkheid voor je eigen veiligheid niet bij anderen leggen, tenzij je er geen invloed op kunt uitoefenen. Jij bewaart je pincode toch ook niet op een sticker op je bankpas? Jij hangt je voordeursleutel toch ook niet op naast je voordeur? In dit specifieke geval (artikel) is het echt 100% een gebruikersprobleem. Want ze moesten allemaal een wachtwoord instellen. Als je dan voor 12345 kiest ben je gewoon een domme loempia. Ja, de ontwikkelaar had het zo kunnen instellen dat je minimaal 12 karakters, hoofdletter, kleine letters, cijfers en leestekens moet kiezen… Maar dat ontslaat de gebruiker er niet van een veilig wachtwoord te kiezen.
hackerman
It wasn’t me…
Hack Hack Cheat Cheat!

Hulde aan de Hacker die het heeft gekraakt, juist door zijn werk, leven 30.000 autobezitters weer wat veiliger. Ik blijf mij bovenal verbazen over de soms compleet falende ontwikkelaars van apps en de manier zij denken goed om te gaan met beveiliging daarvan. Echt lachwekkend. Ook zelf inmiddels vanuit eigen werk meegemaakt, in feite gewoon orde van de dag.
Dat gedoe met wachtwoorden is ook vragen om ellende. De gemiddelde consument heeft tientallen pincodes en wachtwoorden voor allerlei diensten, en de gemiddelde consument is niet instaat om die allemaal ‘moeilijk raadbaar’ te maken en ze nog te onthouden ook. Helemaal als het om ‘rolling passwords’ gaat. Om zichzelf niet buiten te sluiten, kiezen mensen dus eenvoudige wachtwoorden. Dat is uiteraard niet handig vanuit beveiligingsoogpunt, maar het moet ook werkbaar blijven.

Het kan haast niet anders of er komt een omslag op dat gebied. Biometrie wellicht? Ik weet het niet (ben geen specialist) maar dat password-geneuzel is niet houdbaar.
Kijk eens aan. Wéér een kwetsbaarheid. En jij dacht dat je veilig was?
– Jouw ventiel geeft dmv TPMS de druk in de band door aan de auto. Wanneer op dit signaal tegenstrijdige berichten binnenkomen, gaan de auto’s van sommige merken in een noodloop. Op dit moment onderzoekt minstens één politiedienst of dit te gebruiken is in een achtervolgingssituatie.
– Jouw auto heeft WIFI? Dan is er een erg grote kans dat hackers daarmee in het multimediasysteem kunnen komen. Bij VW in elk geval staat er een hele reeks poorten open. Ik heb al in een verslag van een ethical hack gezien dat een team bijna toegang tot de CAN-bus had gekregen. De enige reden dat ze niet zo ver gingen was dat ze daarvoor de documentatie van de brug-chip tussen multimedia- en can-bus mosten verkrijgen, en dat kon alleen door zich als autodealer te registreren (=niet ethisch). Non-ethical hackers zullen weinig moeite hebben met deze laatste stap.
– Is jouw wagen verbonden met het internet? Nou slaap lekker dan. De digitale netwerken in een auto zijn, anders dan velen hopen en beweren, NIET fysiek gescheiden van elkaar, maar zijn met elkaar verbonden via een brugfunctie. Dat is nodig om bijvoorbeeld waarschuwingen uit het motormanagementsysteem op jouw beeldscherm te plaatsen. Het is stomweg wachten totdat hackers hebben uitgevogeld hoe dit te benutten.

En nu deze stommiteit. Man man, maak toch een systeem waarin je wordt VERPLICHT vooraf zélf een wachtwoord te formuleren. Als zélfs Facebook – het grootste lek ever – dit al goed weet te doen …. ! :(
@frank2b: ethical hackers bestaan niet. Ongevraagd een systeem binnendringen met als doel binnendringen is gewoon computervredebreuk. Per definitie fout.
Maar “bijna toegang tot de CAN bus” wat betekent dat? Zo’n infotainment systeem heeft meerdere CAN bussen die allemaal niet direct met de aandrijflijn in verbinding staan. Kun je weinig mee.
@mashell: aanvulling: zo’n Gateway kopieert alleen specifieke informatie van de ene bus naar de andere. Feitelijk is het daarmee een veel strengere Firewall dan je PC beveiligd. Auto’s zijn beter beveiligd dan PC’s en heel veel beter dan mobieltjes die daar nog jaren achterlopen. Dat is overigens niet omdat we in de auto industrie nou zoveel verstand van beveiliging hebben maar omdat de focus op beperking van de hoeveelheid data ligt.
@mashell: Zo’n gateway bestaat vaak uit een device die het verkeer tussen de bussen regelt. In het door mij bovenomschreven geval beaamde VAG dat de gekozen route tot een toegang op het motormanagementsysteem en het remsysteem had kunnen leiden. De serieuze fabrikant zal niet op dezelfde laconieke manier reageren: https://www.washingtonpost.com/transportation/2019/04/30/auto-industry-says-cybersecurity-is-significant-concern-cars-become-more-automated/?utm_term=.17b85aed645f.

Of deze: https://venturebeat.com/2016/06/27/the-5-scariest-car-hacks-including-some-that-could-make-you-crash/

Ik zou er maar niet zo gerust op zijn.
@mashell: Ethical hacken bestaat niet? Dat is ook maar een mening. Menige organisatie nodigt hackers graag uit om gaten in de beveiliging te ontdekken. Zij die dat niet doen krijgen die andere groep op bezoek…
Amerikanen doen dat ook, die schakelen ook allemaal mensen uit op afstand met behulp van drones.
hackebar

Geef een reactie:

Je moet ingelogd zijn om reacties te posten, registreren kan HIER (ook via Facebook).