Remmen Chrysler-auto's door lek op afstand te bedienen
Twee bekende beveiligingsonderzoekers hebben een beveiligingslek in auto's van fabrikant Chrysler ontdekt, waardoor het op afstand mogelijk is om van honderdduizenden voertuigen de remmen in te schakelen, uit te schakelen en bij lage snelheden ook de motor uit te zetten.
Ook is het mogelijk om het klimaatcontrolesysteem te besturen en de radio en ruitenwissers te bedienen. De onderzoekers werken nog aan de mogelijkheid om ook de controle over het stuur over te nemen. Op dit moment kan dit alleen als de auto in zijn achteruit staat. Het probleem bevindt zich in Uconnect, een onderdeel dat de auto's online mogelijkheden geeft en waarmee het entertainmentsysteem en navigatie zijn te bedienen. De functionaliteit biedt zelfs een wifi-hotspot en maakt telefoongesprekken mogelijk.
Uconnect laat iedereen met een voertuig verbinding maken zolang het IP-adres van de auto bekend is. Nadat er verbinding met een auto was gemaakt slaagden onderzoekers Charlie Miller en Chris Valasek erin om de firmware van het systeem aan te passen. Deze aangepaste firmware kan vervolgens instructies via het interne netwerk van de auto naar de fysieke onderdelen zoals de motor en wielen sturen.
De aanval zou op elk Chrysler-voertuig werken dat over Uconnect beschikt en eind 2013, in 2014 of begin 2015 is geleverd. Volgens de onderzoekers zouden er naar schatting 471.000 kwetsbare auto's in de Verenigde Staten zijn. De onderzoekers zullen hun werk tijdens de komende Black Hat conferentie demonstreren, waarbij een deel van de exploit zal worden gepubliceerd, zo meldt Wired.
Update
Chrysler werd bijna negen maanden geleden al door de onderzoekers ingelicht. De fabrikant waarschuwde autobezitters op 16 juli dat er een update beschikbaar was. Het gaat echter om een cryptische boodschap die meldt dat er een software-update beschikbaar is die van auto's de "elektronische beveiliging" en communicatiesystemen verbetert, zonder te laten weten wat de impact van de verholpen kwetsbaarheid kan zijn. Een bijkomend probleem is dat de update van Chrysler handmatig via een USB-stick moet worden geïnstalleerd. Gebruikers kunnen dit zelf doen of via de dealer laten regelen. De kans is echter groot dat hierdoor veel voertuigen de update nooit zullen ontvangen.
Reden te meer, om te eisen, dat externe verbindingen en techniek strict gescheiden worden. Ongeacht of het een voer-,vlieg-, vaar of ander tuig betreft.
Tja, en *waarom* is Uconnect nodig ? 99.99% van de bestuurders zal *nooit* hier gebruik van maken. Zou het niet handig zijn het default uit te zetten, en om een fysieke scheiding te maken tussen de zaken waar Uconnect mee kan communiceren, en de besturing van een auto ? Het is te zot voor woorden dat dit mogelijk is.
Hang die auto's maar aan Internet de controle overgegeven en. Dat gaat nooit fout want wie zou nou zo iets gaan hacken...
/sarcasme
Een suggestie die ik een poosje terug ergens tegenkwam is dat (misschien bij een andere fabrikant, dat herinner ik me niet) zo'n koppeling gemaakt is omdat je dan via het entertainmentsysteem en de speakers leuke geluiden kan produceren die bijvoorbeeld op toerental en remmen reageren, zodat je rustig rijdend het gevoel hebt in een raceauto of een wilde achtervolging te zitten of zo.
Dat is natuurlijk echt wel pret (al betwijfel ik of dat zelf geen veiligheidsrisico vorm als je het te extravagant invult), maar maak die koppeling dan eenrichtingverkeer. Fysiek, bedoel ik. Een optische koppeling met een LED aan de kant van de boordcomputer en een optische sensor aan de kant van het entertainmentsysteem bijvoorbeeld, en beslist niet andersom. Laat die boordcomputer maar een datastroom uithoesten waar het entertainmentsysteem al dan niet iets leuks mee doet, maar laat het entertainmentsysteem nooit van zijn leven zelfs maar de fysieke mogelijkheid hebben data naar de boordcomputer te sturen.
Nog gelukkiger, ik heb helemaal geen auto meer ;;--))
Auto's horen niet aan het internet te hangen. En als ze dat wel hangen, horen dit soort systemen fysiek gescheiden te zijn. En daar is hier overduidelijk geen sprake van.
Auto's horen niet aan het internet te hangen. En als ze dat wel hangen, horen dit soort systemen fysiek gescheiden te zijn. En daar is hier overduidelijk geen sprake van.
Succes.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
