Onderzoekers breken via internet in op auto
Onderzoekers van beveiligingsbedrijf Computest zijn er in geslaagd om op afstand in te breken op auto's van Volkswagen en Audi. Het gaat om een VW Golf GTE en een Audi A3, beide van moederbedrijf Volkswagen.
De onderzoekers hebben niet onderzocht of ze de auto vervolgens konden besturen of bijvoorbeeld een auto konden laten remmen. "Dat hebben we bewust niet gedaan, we liepen al vrij snel tegen juridische problemen aan", zegt beveiligingsonderzoeker Daan Keuper van Computest. Ze waren bang inbreuk te maken op het intellectueel eigendom van Volkswagen.
Omdat er nog veel auto's rondrijden die kwetsbaar zijn, geven de onderzoekers niet al te veel prijs over hun bevindingen. "Om het probleem te verhelpen, moet een auto naar de dealer en door hem worden gepatcht", zegt Keuper. "Onze auto's zijn nog kwetsbaar."
Het is onduidelijk of er een groot programma wordt opgetuigd om auto's te voorzien van veiliger software. Volkswagen- en Audi-importeur Pon wilde niet inhoudelijk reageren op vragen van de NOS. Het Duitse moederbedrijf van Volkswagen en Audi gaf geen gehoor.
Op internet aangesloten
Het lukte de onderzoekers om in te breken via het multimediasysteem, dat op internet is aangesloten. In het geval van de Volkswagen lukte dat via de verbinding met het wifi-netwerk, waarbij een aanvaller wel op hetzelfde netwerk moet zitten om de auto te kunnen aanvallen.
"Maar in het geval van de Audi A3 lukte dat ook via het mobiele netwerk", zegt onderzoeker Keuper. Die auto heeft namelijk een simkaart aan boord waarmee de auto verbinding maakt met internet.
De impact verschilt per mobiele provider: of de auto te hacken is op afstand, zonder dat een aanvaller per se weet waar de auto is, hangt af van de vraag hoe goed het mobiele netwerk de auto ertegen beschermt.
Nederlandse providers doen het volgens Keuper over het algemeen goed. "Maar de vraag is of dat ook zo is als je naar een ander land gaat", aldus Keuper. Ook zou een aanvaller de auto kunnen aanvallen met een valse zendmast.
Beide auto's zijn bovendien ook te hacken als een aanvaller er fysieke toegang toe heeft, met een aanval op de usb-poort in de auto.
Volgens de onderzoekers wekt de beveiliging van de auto's geen goede indruk. "De kwetsbaarheid die we hebben gevonden zou moeten zijn gevonden tijdens een goede beveiligingstest", schrijven ze in hun onderzoeksrapport.
Besturing hacken
De onderzoekers hebben alleen kunnen vaststellen dat het mediasysteem te manipuleren is, maar doordringen tot het systeem waarmee de auto wordt bestuurd is geen theorie. In de auto komen is een eerste stap; vervolgens kan een aanvaller verder kijken.
In 2015 slaagden twee bekende beveiligingsonderzoekers er in om op afstand een auto te hacken en tot stilstand te brengen. Hackers zijn er vaker in geslaagd om een auto te kraken als ze fysieke toegang tot de wagen hadden.
Dat komt doordat moderne auto's ook binnen het voertuig leunen op digitale communicatie. Via de zogenoemde CAN-bus worden digitale signalen uitgewisseld. Daardoor kan een auto bijvoorbeeld remmen als de computer in het voertuig vaststelt dat er een botsing gaat plaatsvinden, of kan de computer helpen met inparkeren.
Het probleem is dat de techniek achter de CAN-bus verouderd is en beveiliging niet is ingebouwd. Als je door weet te dringen tot de CAN-bus, kun je dus de besturing manipuleren. "Er zijn wel maatregelen genomen om hacken tegen te gaan, die zou je moeten omzeilen", zegt Keuper.
Tegenover Keuper en zijn onderzoekscollega Thijs Alkemade heeft Volkswagen toegegeven dat het lek bestaat en zegt het autobedrijf blij te zijn met het onderzoek.