De hoeveelheid apparaten in huis, toepassingen in de gezondheidszorg en auto’s met internetconnectiviteit groeit snel. Aandacht voor de beveiliging hiervan is er alleen nog maar weinig. Totdat het mis gaat. Omdat we ons dagelijks bezighouden met het verbeteren van de security van software, onderzochten onze ethische hackers welke risico’s er zijn als het gaat om internetconnectiviteit in auto’s.
Research goal: “Can we influence the driving behavior or critical security systems of a car via an internet attack vector?”
Auto’s zijn vandaag de dag veel meer ‘connected’ dan je in eerste instantie zou denken. Deze connectiviteit heeft onze rijervaring enorm verbeterd, maar het brengt ook nadelen met zich mee: de veiligheidsrisico’s. Ons onderzoek richtte zich op het infotainmentsysteem van het merk Harman dat in verschillende modellen van de Volkswagen Group wordt gebruikt. Daarvoor hebben we een Volkswagen Golf GTE en een Audi A3 Sportback e-tron beide met bouwjaar 2015 onderzocht.
Controle over navigatiesysteem
Het lukte ons om op afstand toegang te krijgen tot het systeem. Dit betekent dat kwaadwillenden in bepaalde situaties kunnen meeluisteren met gesprekken die de bestuurder via een carkit voert, de microfoon aan- en uit kunnen zetten en het volledige adresboek en de gespreksgeschiedenis kunnen inzien. Verder kan door de kwetsbaarheid via het navigatiesysteem exact worden achterhaald waar de bestuurder is geweest en kan men live volgen waar de auto zich op dat moment bevindt. Allemaal zaken waardoor de privacy van de bestuurder ernstig kan worden geschaad.
De systemen waar we toegang tot kregen zijn indirect verbonden met de systemen die ervoor zorgen dat je kunt remmen en gas geven. Omdat het hacken van deze zaken illegaal is en je daarmee inbreuk maakt op het intellectueel eigendom van de fabrikant, is op dit punt is besloten het onderzoek te stoppen.
Modernisering updatebeleid
Direct na de vondst hebben we het lek gemeld bij de Volkswagen Group. Zij hebben laten weten dat de kwetsbaarheden inmiddels zijn opgelost. Dit betekent echter niet dat het gevaar geweken is. Het is namelijk niet mogelijk om dit type infotainmentsysteem op afstand te updaten waardoor auto’s die al op de markt zijn met dit systeem nog steeds kwetsbaar zijn. En als je ervan uitgaat dat een auto gemiddeld 18 jaar is als deze naar de sloop wordt gebracht, dan zijn er nog heel wat jaren waarin kwaadwillenden hier misbruik van kunnen maken.
Daarom pleiten wij voor een modernisering van het update-beleid door de automotive-industrie waardoor het voor consumenten makkelijker moeten worden om de software-systemen in hun auto te updaten naar de laatste versie. Zo zijn zij altijd beschermd tegen de nieuwste bedreigingen.