‘Apps voor connected auto blijken onvoldoende beveiligd’

Apps voor connected auto's blijken hun beveiliging niet altijd goed op orde te hebben. Gebruikersdata zijn onversleuteld, waardoor het mogelijk blijkt om deuren te openen en de motor te starten. Wegrijden lukt nog niet zomaar.

Beveiligingsonderzoekers van Kaspersky hebben problemen ontdekt met de beveiliging van connected auto-apps. Ze vergelijken het met de situatie dat je je autosleutels op het dashboard hebt laten liggen.


Autosleutel-apps onveilig

Connected auto-apps

Onderzoekers Victor Chebyshev en Mikhail Kuzin bestudeerden zeven ‘connected’ Android-apps voor auto’s, waarmee je bijvoorbeeld de deuren kunt openen en de motor starten. Ze presenteerden hun bevindingen afgelopen week op de RSA-beveiligingsconferentie in San Francisco. Het gaat hier weliswaar om Android-apps, maar er zijn ook iOS-apps waarmee je op soortgelijke wijze de autodeuren kunt openen. We weten daarom nog niet in hoeverre ook die apps risico’s met zich meebrengen, maar in huishoudens waar iOS en Android door elkaar worden gebruikt kan het een probleem zijn.

CarKit is geen HomeKit
Bij dergelijke apps ben je bovendien afhankelijk van de veiligheidsbewustheid van de autofabrikant. Bij HomeKit heeft Apple de mogelijkheden om te hacken aardig dichtgetimmerd, maar bij CarKit bemoeit Apple zich alleen met het entertainmentsysteem in de auto, niet met de aansturing van het motorsysteem. Uit het onderzoek blijkt dat autofabrikanten er soms nog wel een potje van maken.

Volgens de Kaspersky-onderzoekers sloegen 6 van de 7 onderzochte apps gebruikersnamen en wachtwoorden onversleuteld op. Geen enkele app had bescherming tegen reverse-engineering, het toevoegen van malware aan de apps of het vervangen van de originele app door een versie waarmee geknoeid was.

Wegrijden lukt nog niet
Al een aantal jaren wordt gesproken over de veiligheid van ‘connected cars’. Het begon allemaal met de ontdekking van Charlie Miller en Chris Valasek dat je diverse functies van een Jeep Grand Cherokee via de dataverbinding op afstand kunt bedienen, zelfs het stuurwiel en de remmen. Het gaat dan om de beveiliging van de computers die in de auto’s zelf zijn ingebouwde. De beveiligingsonderzoekers van Kaspersky keken naar de apps die je gebruikt om de auto’s aan te sturen. Na het stelen van de inloggegevens kan een kwaadwillende toegang krijgen tot de auto. Dat betekent echter niet dat een crimineel er meteen mee weg kan rijden. Vaak is nog wel een fysieke sleutel nodig om ermee te kunnen rijden. Maar ook daarvoor is er een oplossing: nadat ze toegang hebben tot de auto kunnen autodieven met een speciaal kastje zorgen dat het on-board autosysteem een nepsleutel herkent. Het alarmsysteem is vaak ook uit te schakelen via de app, dus ook dat lukt zonder hak- of breekwerk.

Bij alle 7 geteste apps is het mogelijk om de auto op afstand te openen. Met 6 van de 7 apps kan ook de motor gestart worden. Geen enkele app voerde een integriteitscheck uit om te kijken of er met de app geknoeid was. Daardoor wordt het makkelijker om de originele app te vervangen door een kwaadaardige versie, zonder dat de fabrikant iets opmerkt. Het installeren van zo’n kwaadaardige versie is bijvoorbeeld mogelijk door de auto-eigenaar via een gerichte aanval een pop-up te sturen dat er een update beschikbaar is. Op dat punt wordt het al wat lastiger om iOS-gebruikers voor de gek te houden, want zo’n update zal meestal via de App Store plaatsvinden (hoewel het ook buiten de App Store om mogelijk is via het iOS Developer Enterprise Program).

Of jouw auto direct gevaar loopt is helaas niet te zeggen. Om criminelen niet wijzer te maken dan ze al zijn hebben de onderzoekers niet onthuld om welke apps het gaat. Meer informatie lees je hier.

Reacties: 3 reacties

Reacties zijn gesloten voor dit artikel.