Tegenwoordig zitten auto’s bomvol technologie. Dat kan een nadeel hebben: een hacker heeft tien automerken weten te kraken.
De technologieën die in de auto’s van dit moment zitten maken het leven een stuk aangenamer. Met je sleutel in je broekzak de auto openen, warme stoelen in de winter als je instapt of op afstand je garage laten inloggen om te kijken wat er mis is met je auto zijn maar een paar voorbeelden. Al deze tech komt toch met een nadeel, het is namelijk te hacken.
Hacker kraakt tien automerken
De hacker waar we het hier over hebben is Sam Curry en zijn team. Zij hebben een onderzoek verricht naar de veiligheid van softwaresystemen bij automerken. Het team had eerder gemakkelijk wat deelstepjes gehackt. Hierdoor konden ze de lichten aanzetten en toeteren. Toen kwamen ze op het lumineuze idee om dit ook eens te testen bij automerken.
Het resultaat is jammerlijk. Sommige auto’s zijn net zo goed (of slecht) beschermd als de eerder genoemde stepjes. En denk niet dat we het hier hebben over kleine autofabrikanten. Nee, de fouten in de software zijn ontdekt bij merken zoals Kia, Mercedes en BMW. Curry heeft aangegeven dat hij dit gedaan heeft om te laten zien aan de merken waar hun zwakheden liggen. Niet om schade aan te richten.
Zwakke punt
Het trackingsysteem lijkt met name de boosdoener. Dit systeem van Spireon kan gekraakt worden en dan kan de hacker willekeurige boodschappen geven aan het voertuig. Denk aan het openen of het starten van de auto. Dit systeem zit in meer dan 15,5 miljoen auto’s! Sam Curry kan zelfs in één keer een vloot vloertuigen overnemen. Dit was ook het geval bij politieauto’s en ambulances en dat moeten we toch niet willen. Mensen met slechte bedoelingen kunnen ontzettend veel schade aanrichten als zij hiertoe toegang weten te krijgen.
De resultaten van het onderzoek zijn confronterend. We noemen er een paar. Bij Mercedes en BMW konden de hackers accounts van de eigenaren zien en aanpassen. Bij Kia konden ze zelfs toegang krijgen tot de 360-graden camera’s van het voertuig. Bij Ford konden ze tevens de persoonlijke informatie zien, tot aan het huisadres van de automobilist zelf. Toeteren op afstand, auto uitzetten of seinen met lichten? Natuurlijk, dat kan bij Hyundai.
De automerken hebben (nog) niet gereageerd op het confronterende onderzoek.
Tsja, ik kijk er niet van op. Zou het iets te maken hebben met de hiërarchie en organisatiestructuur van autoconstructeurs? Voornamelijk ingericht op traditionele wijze van bouwen. Alles dmv losse modules (veelal ingekocht) ipv integraal vanaf de basis de auto ontwerpen: à la Tesla (maar er zijn meer voorbeelden te noemen)
Losse modules zijn in principe veiliger te maken dan zo’n enkel systeem als Tesla dat is gewoon een single point of failure.
Of juist niet, alle losse modules, die dus wel aan elkaar geknoopt zijn, moeten allen hun eigen veiligheidsmaatregelen treffen. Daarbij zie je vaak dat de losse modules elkaar “vertrouwen”. Als je daardoor bij 1 module binnen bent, ben je binnen in alle modules. Oftewel alles is net zo veilig als de zwakste schakel. En die moeten allemaal tijdig voorzien worden van security updates. Dit terwijl remote updates juist iets is waar de meeste automerken nog helemaal niet zo goed in zijn.
Bij 1 geïntegreerd geheel heb je1 overkoepelend security beleid (hardware en software), waar alles doorheen gaat. Natuurlijk ook een risicovol punt, maar daar is het nu juist ook exact op ontworpen.
Daar heb je een punt. Maar vanaf de huidige generatie (MEB, heb ik zelf mee van doen) vertrouwen de componenten elkaar niet meer en daar is het zo geregeld dat als je toegang hebt tot één component je alsnog niks kan omdat je de andere componenten ook nodig hebt.
Vanuit de beschrijving lijkt het er op dat er een backend is gehackt dat sommige merken gebruiken voor online connectivity. Dus geen auto gehackt, gewoon een website.
Is dat niet een kwestie van interpretatie? Of je een auto nou 1:1 hacked of via een website, resultaat is dat je direct ongeoorloofd invloed krijgt op de werking van de betreffende auto.
Klopt natuurlijk. Maar het wordt opgeklopt met 10 merken, als het dan 1 website is waar 10 merken gebruik van maken is het toch wat minder indrukwekkend. Zo’n backend kan een start commando sturen naar een auto met een specifieke VIN, IMEI combinatie. Normaal gesproken mag dat alleen de eigenaar doen. Die eigenaar moet zich dus autoriseren bij de website. De link eigenaar en auto ligt in die website. Weet je die website zo te hacken dat die autorisatie omzeild wordt kun je al die auto’s starten maar heb eigenlijk geen enkele auto gehackt.
Single-Sign-On global voor toegang tot alles is wel goed, maar niet als het wagenwijd (pun intended) openstaat voor de wereld, he BMW?
BMW heeft zelfs z’n eigen neus gehekt.
Ik neem aan dat dit voor niemand een verrassing is?
Precies. Kan iemand mij vertellen wat is nou het voordeel is om alle automanagementsystemen aan het internet te hangen? ICE snap ik nog wel, maar waarom zou je je auto op afstand willen kunnen starten ed?
Auto op afstand starten doe je als je auto bevroren is, jij geen zin hebt om je auto te krabben en de levensduur van je auto en het milieu je niks kan schelen, dat op afstand starten is dus voor best veel mensen interessant. EV rijdende mensen kunnen zonder gewetenswroeging hun auto op afstand voorverwarmen, erg prettig.
Ik stuur best vaak een bestemming van mijn telefoon naar mijn auto. Kan op mijn telefoon zien hoeveel ik nog in de batterij heb. Mijn auto haalt verkeersinformatie en kaartupdates van het internet, erg handig. Ik zou geen offline auto meer willen (zegt de man die zijn geld in dat vakgebied verdiend…).
Dat fabrikanten dan makkelijk abonnementjes kunnen slijten
Precies dat. Onder het motto van ‘alles moet geconnect zijn’/IoT. Wie, denk je, haalt het meeste voordeel uit die “dienst”? De koper of de fabrikant? Ik wil veel meer devices die wél kunnen communiceren met bijv. mijn telefoon, maar niet via het internet. Jammer genoeg is daar bijna geen ‘business case’ voor.
Het originele artikel laat veel meer los dan er hier wordt geschreven.. zelfs Rolls Royce en Ferrari zijn betrokken.
Je kunt kias en hyundais toch gewoon met een usb kabeltje stelen? Beetje omslachtig dit allemaal