Nieuws

Remmen Chrysler-auto's door lek op afstand te bedienen

dinsdag 21 juli 2015, 14:27 door Redactie, 15 reacties

Twee bekende beveiligingsonderzoekers hebben een beveiligingslek in auto's van fabrikant Chrysler ontdekt, waardoor het op afstand mogelijk is om van honderdduizenden voertuigen de remmen in te schakelen, uit te schakelen en bij lage snelheden ook de motor uit te zetten.

Ook is het mogelijk om het klimaatcontrolesysteem te besturen en de radio en ruitenwissers te bedienen. De onderzoekers werken nog aan de mogelijkheid om ook de controle over het stuur over te nemen. Op dit moment kan dit alleen als de auto in zijn achteruit staat. Het probleem bevindt zich in Uconnect, een onderdeel dat de auto's online mogelijkheden geeft en waarmee het entertainmentsysteem en navigatie zijn te bedienen. De functionaliteit biedt zelfs een wifi-hotspot en maakt telefoongesprekken mogelijk.

Uconnect laat iedereen met een voertuig verbinding maken zolang het IP-adres van de auto bekend is. Nadat er verbinding met een auto was gemaakt slaagden onderzoekers Charlie Miller en Chris Valasek erin om de firmware van het systeem aan te passen. Deze aangepaste firmware kan vervolgens instructies via het interne netwerk van de auto naar de fysieke onderdelen zoals de motor en wielen sturen.

De aanval zou op elk Chrysler-voertuig werken dat over Uconnect beschikt en eind 2013, in 2014 of begin 2015 is geleverd. Volgens de onderzoekers zouden er naar schatting 471.000 kwetsbare auto's in de Verenigde Staten zijn. De onderzoekers zullen hun werk tijdens de komende Black Hat conferentie demonstreren, waarbij een deel van de exploit zal worden gepubliceerd, zo meldt Wired.

Update

Chrysler werd bijna negen maanden geleden al door de onderzoekers ingelicht. De fabrikant waarschuwde autobezitters op 16 juli dat er een update beschikbaar was. Het gaat echter om een cryptische boodschap die meldt dat er een software-update beschikbaar is die van auto's de "elektronische beveiliging" en communicatiesystemen verbetert, zonder te laten weten wat de impact van de verholpen kwetsbaarheid kan zijn. Een bijkomend probleem is dat de update van Chrysler handmatig via een USB-stick moet worden geïnstalleerd. Gebruikers kunnen dit zelf doen of via de dealer laten regelen. De kans is echter groot dat hierdoor veel voertuigen de update nooit zullen ontvangen.

Malwarebytes blokkeert torrentsites wegens IP-reeks

Kritiek Windowslek was al bekend bij HackingTeam

Reacties (15)

21-07-2015, 14:34 door Anoniem

Duidelijk geval, Chrysel zal alle betreffende wagens terug moeten roepen naar de dealer om een ernstig probleem met de verkeersveiligheid op te lossen. Doen ze dat niet, dan gaat het ze in de VS miljoenen per ongeval kosten....

Reden te meer, om te eisen, dat externe verbindingen en techniek strict gescheiden worden. Ongeacht of het een voer-,vlieg-, vaar of ander tuig betreft.

21-07-2015, 14:41 door [Account Verwijderd] - Bijgewerkt: 21-07-2015, 14:44

[Verwijderd]

21-07-2015, 15:32 door Eric-Jan H te D

Hé hadden we zo'n discussie niet al eerder bij de scheiding van flight-management en entertainment bij vliegtuigen.

21-07-2015, 15:32 door Anoniem

"Het probleem bevindt zich in Uconnect, een onderdeel dat de auto's online mogelijkheden geeft en waarmee het entertainmentsysteem en navigatie zijn te bedienen."

Tja, en *waarom* is Uconnect nodig ? 99.99% van de bestuurders zal *nooit* hier gebruik van maken. Zou het niet handig zijn het default uit te zetten, en om een fysieke scheiding te maken tussen de zaken waar Uconnect mee kan communiceren, en de besturing van een auto ? Het is te zot voor woorden dat dit mogelijk is.

21-07-2015, 17:01 door karma4

Voor een korting bij de verzekeraar dan wel als voorwaarde voor een financiële lening gaat de consument overstag.
Hang die auto's maar aan Internet de controle overgegeven en. Dat gaat nooit fout want wie zou nou zo iets gaan hacken...
/sarcasme

21-07-2015, 17:25 door Anoniem

Kun je wel gelijk universeel wereldwijd kentekenplaten gaan uitdelen. Gewoon het IPv6 adres van de auto erop...

21-07-2015, 18:11 door Anoniem

Het probleem bevindt zich in Uconnect, een onderdeel dat de auto's online mogelijkheden geeft en waarmee het entertainmentsysteem en navigatie zijn te bedienen.

En welk warhoofd bij Crysler heeft het zelfs maar in zijn hoofd gehaald om het entertainmentsysteem niet volledig gescheiden te houden van kritische functies van de auto zoals remmen en sturen? En waarom worden er voertuigen goedgekeurd voor gebruik op de openbare waarin die scheiding niet volledig is?

Een suggestie die ik een poosje terug ergens tegenkwam is dat (misschien bij een andere fabrikant, dat herinner ik me niet) zo'n koppeling gemaakt is omdat je dan via het entertainmentsysteem en de speakers leuke geluiden kan produceren die bijvoorbeeld op toerental en remmen reageren, zodat je rustig rijdend het gevoel hebt in een raceauto of een wilde achtervolging te zitten of zo.

Dat is natuurlijk echt wel pret (al betwijfel ik of dat zelf geen veiligheidsrisico vorm als je het te extravagant invult), maar maak die koppeling dan eenrichtingverkeer. Fysiek, bedoel ik. Een optische koppeling met een LED aan de kant van de boordcomputer en een optische sensor aan de kant van het entertainmentsysteem bijvoorbeeld, en beslist niet andersom. Laat die boordcomputer maar een datastroom uithoesten waar het entertainmentsysteem al dan niet iets leuks mee doet, maar laat het entertainmentsysteem nooit van zijn leven zelfs maar de fysieke mogelijkheid hebben data naar de boordcomputer te sturen.

21-07-2015, 18:50 door SPlid

Gelukkig, ik heb geen Chrysler ;-)

21-07-2015, 19:07 door Anoniem

Door SPlid: Gelukkig, ik heb geen Chrysler ;-)

Nog gelukkiger, ik heb helemaal geen auto meer ;;--))

21-07-2015, 19:57 door Anoniem

Fraai is dat. Die rommel is ook gemonteerd in Dodge, SRT, JEEP, RAM en Fiat aldus de website van Uconnect.

22-07-2015, 08:34 door Anoniem

Wow ik wist wel dat zoiets ging gebeuren. "Laten we alles aan het internet hangen!!!" Ja grappig idee. Maar kunnen ze de besturing, en de zaken die daadwerkelijk internet nodig *kunnen* hebben, niet gewoon fysiek scheiden van elkaar? Waarom moeten de remmen in hemelsnaam via internet te benaderen zijn? Compleet vd pot gerukt. En upgraden via USB stick... Tsja...

22-07-2015, 09:30 door Anoniem

Welkom in het 'Internet of Things', waar alles aan het internet hangt, en dus alles kwetsbaar is. Want 100% veiligheid, dat bestaat niet. En voor een setje lampen in je huis maakt dat niet zo uit, maar voor een object van 1200 kilo dat zich met 130 kilometer per uur verplaatst, maakt dat dus WEL uit.

Auto's horen niet aan het internet te hangen. En als ze dat wel hangen, horen dit soort systemen fysiek gescheiden te zijn. En daar is hier overduidelijk geen sprake van.

22-07-2015, 11:29 door Mysterio

Door Anoniem: Welkom in het 'Internet of Things', waar alles aan het internet hangt, en dus alles kwetsbaar is. Want 100% veiligheid, dat bestaat niet. En voor een setje lampen in je huis maakt dat niet zo uit, maar voor een object van 1200 kilo dat zich met 130 kilometer per uur verplaatst, maakt dat dus WEL uit.

Auto's horen niet aan het internet te hangen. En als ze dat wel hangen, horen dit soort systemen fysiek gescheiden te zijn. En daar is hier overduidelijk geen sprake van.

Auto's en koelkasten (enzo) mogen prima aan het internet hangen. Remmen en aardlekschakelaars (enzo) duidelijk niet. Zolang dat onderscheid niet glashelder is blijft het gokken wat er gebeuren kan.

24-07-2015, 13:42 door Anoniem

Nu is het een auto, straks uw koffiezetapparaat, daarna de koelkast, en vervolgens uw pacemaker. Houdt u al uw patches en upgrades bij? Dit is inderdaad het Internet of Things, en alles zal aan Internet gekoppeld worden. Maar gooit u ook uw koelkast weg over 3 jaar als uw koelkast-OS End of Support is? Jammer dan. En als de koppeling tussen uw telefoon en uw oven (zo handig dat uw eten warm is als u thuiskomt) niet meer werkt omdat deze niet meer ondersteund wordt door uw nieuwe iOS versie, wat gooit u dan weg? De telefoon of de oven?

Succes.

27-07-2015, 15:10 door Anoniem

Door Anoniem: Kun je wel gelijk universeel wereldwijd kentekenplaten gaan uitdelen. Gewoon het IPv6 adres van de auto erop...

moet het wel een static ipv6 zijn ;) en hoe zit het als je naar een ander land gaat. krijg je dan een ander ipv6?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer