Volkswagen makkelijk te hacken

0

In het infomediasysteem dat wordt gebruikt in verschillende modellen van de Volkswagen Groep bevinden zich kwetsbaarheden. Dat ontdekten zogeheten ethische hackers van Computest na het onderzoeken van de Volkswagen Golf GTE en de Audi A3 Sportback e-tron met bouwjaar 2015. Door de lekken kan de privacy van de bestuurder ernstig worden geschaad.

Het lukte de hackers om van afstand toegang te krijgen tot het systeem. In bepaalde situaties kunnen kwaadwillende personen meeluisteren met gesprekken die de bestuurder via de telefoon voert, de microfoon aan/uit zetten en het volledige adresboek en de gespreksgeschiedenis inzien. Via het navigatiesysteem kan ook achterhaald worden waar de bestuurder is geweest, terwijl het live te volgen is waar de auto zich op dat moment bevindt.

In de onderzochte auto’s zijn verschillende versies geïnstalleerd van een infomediasysteem van Harman, die in de onderzochte Golf en A3 waren geïnstalleerd. Specifiek gaat het om het zogeheten Modular Infotainment platform, dat via het handschoenkastje te bereiken is. Deze hardware kan via wifi verbonden worden met internet. Met een simpele port scan werden verschillende processen zichtbaar, waaronder een module met een dusdanige kwetsbaarheid dat misbruik via een wifi hotspot mogelijk was. Zo kon er op afstand een code worden gebruikt. De Golf was alleen via deze wifi verbinding kwetsbaar, waardoor kwaadwillende personen zich in de buurt van de auto moeten bevinden. Bij de A3 was toegang ook mogelijk via het mobiele netwerk, aangezien dit model een ingebouwde simkaart aan boord heeft.

De ethische hackers waren in staat om zowel in de auto (via onder meer een USB stick) als op afstand toegang te krijgen tot de administratieve rechten van het systeem. Daardoor kregen zij de controle over de speakers, de microfoon en het navigatiesysteem. De kwetsbaarheden zijn softwarematig. Het is niet mogelijk om het specifieke type infomediasysteem op afstand te updaten.

De systemen waar toegang tot werd gekregen, zijn indirect verbonden met software die ervoor zorgt dat je kunt remmen en gas geven. Computest besloot op dat punt het onderzoek te stoppen. “Als bedrijf geloven wij in de rol van de ethische hackers, maar het onderzoeken en aankaarten van risico’s moet wel verantwoord blijven. Bij het testen van dergelijke kritieke functies ben je in feite illegaal bezig, want je maakt dan inbreuk op het intellectueel eigendom. Zonder toestemming van de fabrikanten doorgaan was voor Computest dan ook geen optie”, aldus directeur Hartger Ruijs.

Na de vondst van het lek maakte het bedrijf direct melding bij de Volkswagen Groep. De autofabrikant heeft Computest inmiddels laten weten dat voor de kwetsbaarheden een oplossing is ontwikkeld. De update moet handmatig bij de dealer worden geïnstalleerd, aangezien het zoals gezegd niet mogelijk is om het specifieke type infomediasysteem op afstand te updaten. De onderzoekers van Computest menen dat de beveiliging van de auto’s geen beste beurt maakt.

Comments are closed.