Waarom de nieuwe connectiviteit van je auto gevaarlijk is

Auteur: , 20 Reacties

Een cybercrimineel komt naar je toe deze zomer.

H4x0rz

Met internet in de auto weet je altijd waar de beste hotels en restaurants in de buurt van jouw ride zijn. Er zitten echter ook nadelen aan deze moderne technologie. Nu de interwebz vuistdiep in je auto zitten ontstaat de kans dat hackers die kunnen hijacken. Niet in de traditionele Kaapstadse stijl met een blaffer in de hand en een bivakmuts op, maar gewoon via het wereldwijde web.

We leven immers in het jaar van de ‘ransomware’. Dit is software die hackers gebruiken om je computer over te nemen om vervolgens geld te eisen om het arme ding weer ‘vrij te laten’. Omdat auto’s steeds meer gaan lijken op rijdende computers, kan je één plus één optellen en beredeneren dat hackers dit ook met je auto kunnen gaan doen. Bijvoorbeeld door er voor te zorgen dat je auto niet meer start…of niet meer remt.

Een aantal voorbeelden van ‘hack’ praktijken bij auto’s kennen we al. Eerder dit jaar bleken in een onderzoek van de Duitse ADAC 24 verschillende modellen van 19 merken met ‘Keyless Entry’ simpel te openen en te starten door middel van een goedkoop apparaatje dat het signaal van de ‘sleutel’ versterkt. Hierdoor denkt de auto dat de eigenaar in de buurt is en kan je ‘m zo openen en starten. De oplossing: je sleutel in een kooi van Faraday leggen.

Nog serieuzer was de terugroepactie van 1,4 miljoen Chryslers vorig jaar. FCA riep deze auto’s terug naar de dealer toen bleek dat hackers de airco, de ruitenwissers, de radio maar ook het in- en uitschakelen van de remmen van de auto’s konden manipuleren. Zelfs de motor op afstand uitschakelen bleek mogelijk.

Dit gebeurde wel door echte ‘blackhats’ die bovendien eerst kabels moesten aansluiten op de auto’s om de toegang te verkrijgen. Desalniettemin is de vrees van velen natuurlijk dat met het verschrijden van de tijd ook ‘scriptkiddies’ aan de haal kunnen gaan met de elektronica van je auto. Als cybercrimineel is zo’n auto een interessant object om te hacken. Het is niet alleen een prijzig ding voor individuen die er dus veel aan gelegen zijn hun auto volledig in eigen handen te houden; een hacker die een zwakte in de software vindt van een auto kan ook proberen de fabrikant onder druk te zetten.

Dat de hype echt is, blijkt wel uit het feit dat de FBI in ‘Murica een Public Service Announcement de deur uit heeft gedaan om het volk te waarschuwen voor h4x0rz in hun auto’s. Tevens is er in de staat Michigan al voorgesteld om betrapte autohackers levenslang het gevang in te gooien. Eerder deze week kwam The Security Ledger met een rapport waarin staat dat één van elke vijf software-kwetsbaarheden in auto’s aangemerkt moeten worden als ‘kritiek’ en niet zomaar opgelost kunnen worden met makkelijke fixes. Deze boude statements zijn gebaseerd op onderzoek van het bedrijf IOActive. In het onderzoek valt onder andere hetvolgende te lezen.

“The bulk of vulnerabilities that were identified stemmed from a failure by automakers and suppliers to follow security best practices including designing in security or applying secure development lifecycle (SDL) practices to software creation (…) The result is that vehicle cybersecurity vulnerabilities are not solvable using ‘bolt-on’ solutions…”

Volgens The Security Ledger zijn we nog jaren verwijderd van goede standaarden en regulering op dit vlak en denken autofabrikanten ten onrechte dat het geheimhouden van de details van hun systemen de veiligheid garandeert. Een mogelijke vooruitgang op dit vlak is het (verder) introduceren van periodieke updates, net zoals je die op je andere elektronische devices al regelmatig krijgt. Tesla doet dit uiteraard al, hoewel dat soms tegen het zere been van de autoriteiten is.

Geef jij graag wat veiligheid op om je connectiviteit ‘on fleek’ te houden of wijk je liever uit naar een youngtimer en laat je de ordentelijke elektronica over aan de makers van je smartphone?



20 reacties

-edit: dank u, is inmiddels gefixt-
@hdozguzel: Wat denkt u zelf?
Als ik dit zo lees vind ik het maar een eng idee om een auto te hebben die verbonden is met internet.

Ik ga daarom toch maar een youngtimer kopen zodra deze week het geld van de erfenis van wijlen mijn Nigeriaanse oom door de Western Union Bank overgemaakt is.
@moveyourmind: huh? Dan zijn wij familie van elkaar! Ik betaal met mijn deel eerst een ticket voor Svetlana, dan kan ze eindelijk hierheen komen. De laatste bedragen die ik stortte, waren uiteindelijk nodig voor andere zaken. Daarna ga ik ook maar eens naar een barrel zonder connectiviteit zoeken.
@moveyourmind: Moet je niet te lang mee wachten dan, een youngtimer. Voor je het weet betreden die ook de digitale wereld.
Heerlijk zo’n 90’s bolide.
En zo gaat de discussie voort, toen de youngtimers nieuw waren was al die Electronica ook maar niks, en de geschiedenis herhaalt zich. Ik ga voor de laatste techniek iig.
Zucht, waarom dan ook al die systemen aan elkaar koppelen? Je kan die systemen ook gescheiden van elkaar in een auto proppen. Maarja die paar tientjes extra voor de de producenten is natuurlijk ook funest voor de stakeholders. Nee, laat ze maar lekker de boel hacken en wachten totdat het een keer goed fout gaat.
Ransomware werkt omdat het je de toegang tot je zakelijke of persoonlijke gegevens ontzegt. Dit zijn dingen die belangrijk voor mensen zijn. Als een auto niet start is dat irritant, maar niet veel meer dan dat. Bovendien zal de verantwoordelijkheid voor zoiets bij de fabrikant liggen, niet bij de consument. Dus het is voor hackers niet zo interessant om hard in te zetten op auto’s.
@lemster: Ja, voor de gemiddelde mens wel. Totdat ze een keer de auto van een met spoed opgeroepen arts te pakken hebben, of gewoon een ambulance, brandweer of politiewagen.
Degene die mijn golf II softwarematig open krijgt en kan starten mag hem dan wel houden ook.
@marinepower: geldt dat niet voor alle golfjes, je bent pas blij als je ervan af bent
Succes met mn 206je. Zul je toch old fashioned ruit moeten intikken en dan starten met contactkabels…
Ooit ga je er een keer aan, tot die tijd houd ik het op een smartphone en een oud beestje.
Best creepy als je het mij vraagt! En dan te bedenken dat ik een echte nerd ben!

Ik had trouwens van het weekend een Tesla Model S P95 (zonder “D” dus het normale model met 422 PK) en ik moet toegeven dat het wel wat heeft een Tesla te rijden. Maar tegelijkertijd is het wel ook eng om zo een snel ding te hebben: je bent veel sneller als de andere weggebruikers. Maar man o man, wat wordt je heerlijk verwend met al die gadgets (behalve dan dat Supercharger laden… pfff)
Morgen stap ik weer in mijn lekker vertrouwde Citroën C5 Tourer :-) Mijn echte dagelijkse maatje :-) En zolang de auto het nog doet, blijft ‘ie lekker bij mij!

Groetjes uit Wenen,
Rocky
@rocky: mea culpa! Het zou natuurlijk moeten zijn “Model S P85” want eerste generatie Model S. Mijn excuses!
Ik werk voor een Tier 1 leverancier; indirect dus voor een grote Franse OEM, als tester van de nieuwe navigatiesystemen. Wij testen heel veel, maar nooit op security. Voor het werk heb ik wel eens zitten ‘klooien’ met de software van onze testvoertuigen. Alles staat wagenwijd open, als je de 1e beveiligingslaag door bent (wat niet moeilijk is). Ook op onze productiemodellen is nog veel mogelijk. Helemaal als je de kennis en apparatuur hebt om de CAN-bus te beïnvloeden.
*opent mobile.de app om te kijken naar E30’s*
auto koper krijgt nieuwe auto en begint met verwijderen van alle apps die hij kan verwijderen.
auto verkoper: “U werkt toch in IT, ik dacht dat als iemand van gadgets houd het wel IT mensen zijn”
auto koper: “klopt. Ik werk in IT security”
Ach daar vinden ze wel weer wat op, maak me er niet druk om.

Geef een reactie:

Je moet ingelogd zijn om reacties te posten, registreren kan HIER (ook via Facebook).