Een dongel die een Amerikaanse verzekeringsmaatschappij in de auto's van 2 miljoen klanten heeft geïnstalleerd is kwetsbaar voor hackers, die zodoende belangrijke functies van de auto kan overnemen. De dongel houdt de rijstijl van de bestuurder bij en bepaalt of hij meer of minder premie moet betalen.
Beveiligingsonderzoeker Corey Thuen van Digital Bond ontdekte dat de dongel genaamd Snapshot nauwelijks beveiligd is. Een aanvaller kan daardoor toegang tot het netwerk van de auto te krijgen. Voor het uitvoeren van zijn onderzoek analyseerde Thuen de firmware van de dongel. Die bleek firmware-updates niet te controleren, voerde geen secure boot uit, gebruikte geen encryptie of authenticatie en bleek ook geen technieken tegen aanvallen te gebruiken. "Het gebruikte eigenlijk helemaal geen beveiligingstechnologieën", zo laat de onderzoeker tegenover Forbes weten.
"ik vermoedde dat deze dongels onveilig waren gemaakt en ik had gelijk. De gebruikte technologie is verouderd en kwetsbaar voor aanvallers, wat verontrustend is gezien het feit dat ze worden gebruikt om op afstand toegang tot onveilig ontworpen voertuigcomputers te krijgen", gaat Thuen verder. "Een ervaren aanvaller kan deze dongels bijna zeker overnemen en zo op afstand toegang tot een voertuig of zelfs een vloot van voertuigen krijgen. Eenmaal overgenomen kunnen de gevolgen verschillen van het verlies aan privacy tot het verliezen van lijf en ledematen."
Om op afstand toegang tot de dongel te krijgen kan een aanvaller zich op de modem richten. Volgens Thuen kan ook de backend-infrastructuur als aanvalsvector worden gebruikt. Als die systemen worden gecompromitteerd zou een aanvaller op die manier toegang tot de apparaten krijgen waarmee auto's worden uitgerust. Verzekeringsbedrijf Progressive Insurance stelt dat de veiligheid van klanten erg belangrijk is en dat het regelmatig de veiligheid van de dongel controleert.
Deze posting is gelocked. Reageren is niet meer mogelijk.