Doen ze even.
In een tijd waar nagenoeg iedere (relatief) nieuwe auto voorzien is van een infotainmentsysteem, wordt het voor hackers vrij eenvoudig om virtueel in te breken in je bolide. Een klein groepje ethische hackers, het type dat de gegevens niet met kwade bedoelingen op straat gooit bij het ontdekken van een fout of lek, van Computest ontdekte recentelijk dat verschillende auto’s van de Volkswagen Group hier kwetsbaar voor zijn.
Een tweetal security-specialisten van het softwarebedrijf ontdekten de kwetsbaarheden tijdens een researchproject. Het onderzoek concentreerde zich op de 2015-modellen van de Volkswagen Golf GTE en Audi A3 Sportback e-tron. De auto’s waren beide voorzien van een infotainmentsysteem van Harman. Omdat het desbetreffende systeem niet op afstand te updaten is, was het een fluitje van een cent om de iets verouderde auto’s te hacken.
“Het grootste probleem zit hem daarbij vooral in de systemen van auto’s die al een aantal jaar op de markt zijn. Deze software wordt zelden geüpdatet. Daarmee zijn de systemen vrijwel altijd onvoldoende beveiligd. Als je ervan uitgaat dat een auto gemiddeld 18 jaar is als deze naar de sloop wordt gebracht, dan zijn er nog heel wat jaren waarin kwaadwillenden hier misbruik van kunnen maken.”
Zoals gezegd was het voor de mannen niet het doel om er misbruik van te maken. Dat is maar goed ook, want de twee ontdekten een opening die hen toegang gaf tot de speakers, de microfoon en het navigatiesysteem. Niet alleen dat, want diezelfde functies zijn op hun beurt weer indirect verbonden met de besturende functies van de auto. Mochten ze dus écht duistere intenties hebben gehad, dan hadden ze mogelijk, op afstand, kunnen accelereren en remmen. Dit valt echter onder illegale praktijken, dus besloten ze het niet te doen.
“Als je de kwetsbaarheid van dit soort kritieke functies test ben je in feite illegaal bezig en maak je inbreuk op het intellectueel eigendom. Daar moet je echt heel voorzichtig mee omgaan. Zonder toestemming van de fabrikant doorgaan met het onderzoek was daarom voor ons geen optie”
Wél hebben ze het lek doorgegeven aan de Volkswagen Group. De Duitsers hebben in een reactie laten weten dat het beveiligingrisico inmiddels is verdwenen. Dit geldt uiteraard alleen voor auto’s die zo uit de fabriek komen rollen. De kwetsbaarheden blijven bestaan bij de oudere auto’s. Een servicebeurt kan de problematiek verhelpen.
Het beveiligingsrisico is misschien verdwenen, maar er rijden natuurlijk nog heel veel auto’s met dit systeem rond, zonder dat deze een update krijgen. En een terugroep actie voor een beveiligingskwestie zie ik niet snel gebeuren, daar zijn ze de ernst niet van in.
Hoe kan het risico verdwijnen als men geen update doet? Als er geen over the air update mogelijk is moet men massaal terug naar de garage. Niks van gehoord.
@flyerbunch: Hoeft wellicht ook niet. Die auto’s maken via GPRS contact met de server(s) van VW. Wellicht dat er een kwetsbaarheid zat in het toegang verkrijgen via deze route ansich. Dan is de auto nog steeds niet ge-update en potentieel kwetsbaar, maar de gebruikte route wel gepatched. Waarschijnlijk gaat ’t om die connected auto’s waarbij er een gratis 2 jarig abonnement wordt weg gegeven voor de simkaart. Na 5 jaar zijn die systemen obsolete en gaat de stekker eruit. Ken jij een auto van 10 jaar oud waarbij de ingebouwde navigatie nog wèl updates krijgt?
@postzegel: alleen gaat die online verbinding dan weer niet via de MIB van Harman.
@flyerbunch: Deze lekken gaan nooit allemaal opgelost worden; ik heb zelf een RCE – Remote Code Execution – issue gevonden in de Mercedes C-klasse hoger (de niet Becker-bende; dat was helemaal troep); kun je telefoonboek stelen, gesprekken & berichten afluisteren en ook alle boordcomputer-shit uitlezen, 112 (STAR) nood bellen, etc. Interesseerde ze geen reet, want je had fysiek/USB toegang nodig tot de auto (ja, de telefoonlader).
De hamvraag is, hoe krijgt men toegang tot het Harman systeem wanneer het niet op afstand benaderen is? Alsnog van buitenaf, of alleen na ontgrendeling?
Al is voor dat laatste hooguit een handige pool nodig, wat kost zoiets tegenwoordig? Een treetje Schültenbräu of rekenen ze voor VW premium pilsener?
@karhengst: Premium Pilsener? Een tray lauwe Schultenbrau zal voldoende zijn!
Tesylt
Is er een achtergrond artikel? Want ik vind het maar een raar verhaal. Vanaf infotainment kun je bij een VW van 2015 zeker geen voertuig functies aansturen.
http://persberichten.deperslijst.com/84333/persbericht-modellen-volkswagen-group-kwetsbaar-voor-hackers.html
@ikschrijfookoverautos: dank je. Als het paper lees dan valt het allemaal wel mee.
@mashell: Weet je ’t zeker? Alleen al de bandenspanningscontrole verloopt via het infotainment scherm. Ook de start-stop functie; infotainment. Lijkt mij dat de systeem dus aan de canbus hangt en dat t in principe ook andere zaken kan ‘ vinden ‘ in het netwerk. Met een eenvoudige Bluetooth dongle kan je via de OBD2 poort in principe alles bereiken. Sommige functies zitten dan wel achter een login, maar als je die kunt kraken,….
@postzegel: Die info-meuk zit zeker wel op de Canbus aangesloten, maar de meeste functies zijn slechts read-only. Echter door verouderde software en brak programmeren kun je soms met die lees-verzoeken alsnog zaken uitvoeren die je normaliter niet mag. Een corrupt leesverzoek kan een (b.v. XML ) library (kwetsbaar voor XXE of RCE) in de ECU misbruiken om zaken uit te lezen of te manipuleren die volgens de officiele spec helemaal niet kunnen … Het feit dat de interfaces verbonden zijn, maakt ze aanvalbaar en verder is het gewoon wachten tot er een bruikbare kwetsbaarheid gevonden/gepatcht wordt in de software-stack en dan oude versies aanvallen (of zelf een beetje reverse engineren).
@dawwg: Juist. In normale mensen taal: Er is fysiek contact tussen infotainment systeem en essentiëlere onderdelen. En hoewel de communicatie standaard beperkt is; als je het infotainment systeem kan hacken en zich kan laten voordoen (als een ander onderdeel bijvoorbeeld, dat niet alleen read-only communiceert), dan is het systeem daarmee kwetsbaar. De zwakste schakel. Overigens: met een USB stick in het infotainment is eigenlijk al een rare route. Als je toch al fysiek toegang hebt, waarom dan niet direct de OBD2 poort gebruiken?
@postzegel: maar als je je voordoet als een andere ECU die “schrijfrechten” heeft en dezelfde ECU zit ook aan de bus, dan ben je bus conflicten en gebeurt er niets meer.
@mashell: doe je je voor als een ECU die niet aan de bus zit? Een diagnose apparaat bijvoorbeeld? Die zit normaal niet aangesloten? Ik denk natuurlijk te simpel, maar toch: ik kan mij goed voorstellen dat fysiek contact voldoende kàn zijn om de boel te kunnen kraken. Via allerlei wegen.
@postzegel: de diagnose tester is inderdaad het “zwakke punt”. Nu heeft die een login procedure in het voertuig maar als je daar doorheen bent wordt het link. Immers de berichten van de tester worden naar alle bussen gerouteerd. Daarom ben ik niet zo fan van online diagnose testers (die steeds meer fabrikanten hebben).
@mashell: OBDAeleven bijvoorbeeld? Of Torque Pro? Zolang ze doen wat ze zeggen gaat ’t goed, maar een illegale of gehackte versie is natuurlijk een hartstikke reële potentiële bron van ellende. Ook die online logger van de ANWB. En de connectie hoeft er niet eens te zijn tijdens het rijden. Coderen dat de stuurbekrachtiging maar op 10% werkt ipv 100 is soms mogelijk. En potentieel gevaarlijk ook.
@postzegel: er is geen “de can bus” er is een aantal CAN bussen. Er zit een router (gateway) tussen en die stuurt maar beperkt en alleen voorgedefineerde signalen door.
“Als je de kwetsbaarheid van dit soort kritieke functies test ben je in feite illegaal bezig en maak je inbreuk op het intellectueel eigendom. Daar moet je echt heel voorzichtig mee omgaan. Zonder toestemming van de fabrikant doorgaan met het onderzoek was daarom voor ons geen optie”
Je bent helemaal niet illegaal bezig in NL, uit onderzoeksoogpunt mag dit gewoon. PUNT. Het argument dat je de gebruikersovereenkomst schendt, is niet relevant, dat zijn aanvullende voorwaarden waarmee je geconfronteerd wordt NA de aankoop en is zodanig niet bindend. Althans in NL en de meeste Europese landen; in de USA ben je wel fuckt. Daarnaast kun je die voorwaarden gewoon NIET accepteren maar direct omzeilen, aangezien je ze dan helemaal niet geaccepteerd hebt, is er helemaal geen juridische grond. En intellectueel eigendom schendt je niet; het is jou auto en niemand verbied je eigen software in je eigen auto te laden (of je er dan mee mag rijden is een 2e) die ‘creatief’ met de originele software communiceerd. Maar goed, ik snap dat de auto-lobby net als BREIN hard loopt te schreeuwen en te dreigen i.p.v. de OORZAAK op te lossen; klassieke n00b-tactiek.
@dawwg: en een paar keer d & t minder wisselen volgende keer a.u.b., dank u wel, noob !
/edit
@dawwg: Hoewel ik het onderzoek en de bevindingen niet gelijk wil dismissen vind ik de argumentatie die men aanhaalt waarom men niet heeft gepoogd ook daadwerkelijk de rijsystemen te beïnvloeden idd een beetje slap en riekend naar dat het ze gewoon niet is gelukt, om vervolgens met dat kulargument te komen dat ze bang waren inbreuk te maken op VW’s intellectuele eigendom.
Daarnaast zijn de randvoorwaarden voor een hack dat je ofwel op het wifi netwerk van de auto zelf moet zitten (in dit onderzoek bij VW), maar het kan ook via de provider waar de simkaart in de auto contact mee heeft (in dit onderzoek bij Audi). Anderzijds zijn hacks dus ook mogelijk via een USB stick, maar daar moet je dan fysiek toegang tot de auto hebben. Lijkt me dus niet anders dan hoe hackers toegang kunnen krijgen tot je computer thuis, alleen is er in dit geval in potentie meer gevaar omdat gedrag van een rijdende auto zou kunnen worden beïnvloed met een hack.
Usb is niet zo lastig als je de eigenaar kent en wel eens mee rijdt. En gewoon ongemerkt een usb device achter laat waar je remote toegang to hebt. Bij mij zit de usb verstopt onder de armleuning merk je nauwelijks als er wat in zit