Kijk hoe een Jeep op afstand wordt gehackt [updated]

Auteur: , 35 Reacties

Rijdend. Op de snelweg. Met iemand erin.

Kijk hoe een Jeep op afstand wordt gehackt

Wat je nu gaat zien is één van de grootste angsten die een autofabrikant heeft. Een hack die alleen voorkomt in de donkerste nachtmerries van ingenieurs. Charlie Miller en Chris Valasek, twee beveiligingsonderzoekers, hebben namelijk een beveiligingslek blootgelegd in het systeem van Fiat Chrysler. Hierdoor werd het volgens Wired mogelijk om op afstand vrijwel alles in de auto te bedienen. Van de airco, ruitenwissers, radio tot het in- en uitschakelen van de remmen. Zelfs de motor op afstand killen was mogelijk.

De hackers kregen toegang tot al deze systemen via Uconnect, een systeem dat een internetverbinding met de auto tot stand brengt. Met het IP adres van de auto op zak konden ze op afstand toegang krijgen tot de systemen en de firmware aanpassen, waarmee ze vervolgens allerlei systemen konden aansturen. Hoe? Dat vertellen ze pas op de aanstaande Black Hat-conferentie, waar een deel van de exploit zal worden gepubliceerd.

De heren hebben de hack negen maanden geleden uitgevoerd en hun bevindingen netjes met Fiat Chrysler gedeeld. Die heeft vervolgens nieuwe software geschreven en op 16 juli een update uitgebracht. Klein nadeel: deze software kan niet over the air worden geinstalleerd. Auto’s van Fiat Chrysler moeten langs bij de dealer, of eigenaren moeten zelf aan de slag met een USB-stick.

Welke auto’s van de Fiat Chrysler-groep kwetsbaar waren voor de hack is niet bekend. Of nou ja: eigenlijk alles van de bouwjaren 2013, 2014 en 2015 met Uconnect aan boord. In een reactie aan Wired laat Fiat Chrysler weten dat ze het onderzoek waarderen, maar liever niet hebben dat er iets over wordt gepubliceerd. Miller besloot om dit wel te doen. Ze willen peerreviews, en bovendien vinden ze dat ‘het publiek’ dit dient te weten:

“If consumers don’t realize this is an issue, they should, and they should start complaining to carmakers. This might be the kind of software bug most likely to kill someone.”

Check hieronder hoe een Jeep Cherokee op afstand wordt overgenomen. Met een gangetje van 90 km/u…

UPDATE 24-07-2015: Fiat Chrysler roept in de VS 1,4 miljoen voertuigen terug naar de dealer om de software te patchen. Of er in Nederland en België ook een terugroepactie op touw wordt gezet is nog niet bekend. Fiat was niet bereikbaar voor commentaar. Het gaat om de volgende modellen:

2013-2015 MY Dodge Viper specialty vehicles
2013-2015 Ram 1500, 2500 and 3500 pickups
2013-2015 Ram 3500, 4500, 5500 Chassis Cabs
2014-2015 Jeep Grand Cherokee and Cherokee SUVs
2014-2015 Dodge Durango SUVs
2015 MY Chrysler 200, Chrysler 300 and Dodge Charger sedans
2015 Dodge Challenger sports coupes



35 reacties

Het lijkt me toch heel sterk dat de remmen ook echt uitgeschakeld kunnen worden. Bekrachtiging eraf of eventueel de ABS uit oké, maar je kunt echt altijd nog wel remmen.
Neemt niet weg dat dit een hele kwalijke zaak is natuurlijk (als het waar is).
@trustmeiamanengineer: Ik wilde me bijna bij je aansluiten, totdat ik me besefte dat het goed zou kunnen zijn dat de nieuwste generatie auto’s, die drive-by-wire zijn, misschien ook wel geen mechanische verbinding tussen het rempedaal en remmen meer hebben. Ik weet het niet zeker, maar in het geval van de gaspedaal is het al vaak zo.

Iemand die hierover meer weet? Hoever is het drive-by-wire doorgevoerd? Helemaal of blijft er een mechanische verbinding bestaan bij de remmen? (die door het uitschakelen van de elektronica wel niet meer bekrachtigd is)
@MrHyde: Bij mijn weten is voor de remmen altijd (ook) nog een mechanische/hydraulische verbinding vereist. Net als voor steer-by-wire, mag alleen als er ook nog een fysieke mechanische verbinding tussen het stuur en die wielen is, evt wel met koppeling die open kan igv steer-by-wire. Gaspedalen zijn inderdaad al veel langer drive-by-wire.
Ik twijfel nu wel enigszins, want weet niet precies hoe het dan bij een hybride of elektrische auto zit qua remmen, omdat die natuurlijk ook eerst regeneratief remmen. Maar hebben wel nog verplicht ook fysieke remmen op alle wielen, ook al zijn die soms helemaal niet nodig.
@trustmeiamanengineer: hydraulisch is niet verplicht, mechanisch wel, maar dit is je handrem.
@ozan: inb4: En de elektrische (automatische) handrem dan?
Ook van deze is er altijd een handmatige hendel waar je aan kan trekken aanwezig. Ik weet toevallig van de Espace dat deze tussen de voorstoelen zit onder een klep, nu nog uitvogelen waar deze op een F10 zit..
@MrHyde: de V60 plug in heeft een ‘brake by wire’-systeem. Sterker nog, er staat een review op Autoweek van een V60 plug in die meerdere keren een totale uitval van het remsysteem heeft gehad. Of andere auto’s dat ook hebben durf ik niet te zeggen, maar misschien dat alle hybrides met regeneratie het wel hebben.
@knipperlichtje: Tja, maar een ‘totale uitval’ kan ook inhouden dat alle hulp systemen niet meer werken. Mensen zijn niet (meer) gewend om onbekrachtigd te remmen, zeker met zo’n auto van 1900 kilo kost dat zeer veel kracht. Ik kan me niet voorstellen, en zeker niet bij Volvo, dat er niet altijd nog een mechanische backup is.
@trustmeiamanengineer: ik heb ‘m even voor je opgezocht, het probleem lijkt ernstig te zijn. Het kwam ook erg vreemd op mij over. Linkje: http://www.autoweek.nl/autoreview/39508/volvo-v60-d6-awd-plug-in-hybrid
@knipperlichtje: Thanks! Wat een rampenbak zeg! Dacht dat dit misschien wel een leuke wagen zou zijn voor over een paar jaar tweedehands, mooi niet.

Maar ik blijf erbij dat er wel iets van remfunctie over bleef, want anders heb je zelfs met een gangetje van 30km/h een serieus probleem. Tenzij hij ‘m heeft stilgezet met de handrem ofzo, staat er alleen niet bij helaas.
@trustmeiamanengineer: Als programmeur/hacker(beveiliger) mijzelf kan ik me voorstellen dat dit vrij eenvoudig is. Wanneer je toegang hebt in het centrale zenuwstelsel van de auto zet je het ABS systeem niet uit (wat volgens mij helemaal niet kan) maar voorziet het rem-systeem wel van verkeerde informatie. Mits je de toegang hebt gekregen kan je het rempedaal blokkeren door het systeem te laten denken dat ABS ingeschakeld moet worden. Terwijl het omgekeerde waar is.
@bassx: Daar zeg je me wat. Inderdaad als je het systeem zou ‘foppen’ kun je misschien nog veel meer uithalen dan inderdaad gewoon uitschakelen. Als je de ABS sensors voorhoudt dat de wielen blokkeren, kun je er idd misschien wel voor zorgen dat de ABS constant ingrijpt en je dus niet meer remt.
@bassx:
Denk dat je gelijk hebt. Ze hebben kennelijk alles op de can aangesloten.
@bassx: kijk daar sluit ik me nou bij aan. Het is mogelijk dat bij een abs/esp/TCS storing de abs pomp word aangestuurd om te remmen. Ik kan me voorstellen dat je de opdracht kan geven tot remmen. Dit is zelfs via de tester te activeren om bijvoorbeeld de abs pomp te ontluchten
@almera-ga16det: Wat dacht je van op de snelweg via het ESP/ABS systeem gewoon ff slechts 1 wiel vol te laten remmen ? Eindigt je slachtoffer erg snel in de vangrail … Maar goed, zoals overal al gemeld: CANBUS indirect via de multimedia/UConnect unit ontsluiten zonder zeer fatsoenlijke PKI oplossing is gewoon verwijtbaar laks en oliedom !
@trustmeiamanengineer: Fout , ooit al eens op een glad wegdek een noodstop uitgevoerd?
Je Probeert de wagen met heel je gewicht op het rempedaal te stoppen , en toch rem je niet harder?
De ABS pomp verhindert het te hard remmen.

Ik heb er lang mijn twijfels bij , die auto’s die connected zijn .
En nu hetzelfde bij mijn 240 proberen jongens….
@norge: Lol, dat gaat natuurlijk nooit lukken.

Maar je Autoblogaccount had je toch iets beter moeten beveiligen. Eitje om daar in te komen met zo’n voor de hand liggend wachtwoord. Daar kan ik nog wel eens leuke grappen mee uithalen.
@moveyourmind: Is z’n wachtwoord nog steeds Caddy4Life ?
@dawwg: Nog steeds ja, haha!
Naast dat nieuwe auto’s steeds meer van dit soort hack-mogelijkheden krijgen, krijgen ze ook meer mogelijkheden voor verzekeraars om je in de gaten te houden als je een keertje ietsje gas geeft.

Doe mij maar een <2010 auto voor de rest van mijn bestaan.
Juist daarom is het denk ik geen goed idee dat je nu internet in je auto kan krijgen. Voor mij hoeft dat niet. Ik zou het zelf ook nooit bestellen.
Dus over een tijdje elke dag je auto updaten net als je computer thuis :(:(:(
@gezondverstand: update 1 van 174 wordt geïnstalleerd..
Dat krijg je met al die onzinnige “vooruitgang”, nooit dat ik een auto met die rotzooi koop want hoe ze het ook beveiligingen er is altijd wel een manier om het te hacken of te omzeilen.
@grunn: alu-hoedje zeker al op??
@dylan_taylor: Oh dus dit is allemaal niet echt ofzo? En het is in het verleden ook niet voorgekomen? Of ben je echt zo naïef dat je denkt dat dit te beveiligen is?
Daarom geen elektriciteit in auto’s en geen autonome autos gevaar weet je wel.
Het meest waarschijnlijke lijkt me dat ze via de online verbinding een voertuig diagnose sessie hebben opgebouwd en daarin via de testmodes bepaalde ingrepen kunnen doen.
@mashell: daarmee is het waarschijnlijk gewoon weer de klassieke falende website beveiliging die rammelt, niet de auto zelf.
Dit hebben we toch al is gezien bij zo’n peop Prius ?
@st33fie: zelfde kerels, maar zoals in video vermeld wordt, als je deze zou bekeken hebben natuurlijk, deze maal op afstand en niet rechtstreeks verbonden met de wagen vanop de achterbank
Goed bruikbaar in de praktijk dus
Straks zien we een jong knaapje – die nog thuis woont – die 24/7 op z’n zolderkamer doorbrengt… met 12 Jeeps op de oprit. Geruststellende gedachte dit
Denk dat het grote gevaar zit in degene die miljoenen gaat eisen van de fabrikant en z’n eisen bijzet door auto’s te hacken en daarmee mensen vermoord.Tom Tom in de auto en radio.Voor mij genoeg.Moet toch rijden en niet facebooken,filmpjes kijken of wat dan ook.
Ik snap de toegevoegde waarde niet om je auto te connecten met het internet. Ten eerste weet iedereen dat een radioverbinding hartstikke makkelijk op te pikken is, de techniek nog in de kinderschoenen staat en dus makkelijk is te hacken en dat je dus kortom tegen elke hacker zegt dat hij rustig met jouw leven mag spelen.
Bovendien, als je tijdens de rit zo graag wil surfen, gebruik je toch gewoon je tablet of smartphone/databundel?

Geef een reactie:

Je moet ingelogd zijn om reacties te posten, registreren kan HIER (ook via Facebook).