Vorige week maakte autofabrikant Chrysler bekend dat het 1,4 miljoen auto's wegens een beveiligingslek in de software terugroept. Het lek laat een aanvaller auto's via het internet deels besturen. Zo kunnen de remmen worden in- en uitgeschakeld en is het mogelijk om de motor uit te zetten.
Chrysler ontwikkelde een update voor het beveiligingsprobleem en biedt die nu via drie manieren aan. Consumenten kunnen de update zelf downloaden en via een USB-stick de autosoftware updaten. Hiervoor is inmiddels een uitgebreide handleiding (pdf) online verschenen. De tweede optie is het terugbrengen van de auto naar de dealer die vervolgens de update installeert. Daarnaast is er ook nog een derde mogelijkheid. Namelijk het laten opsturen van een USB-stick met de update.
En het is deze laatste optie die op kritiek van beveiligingsexperts kan rekenen. "Dit is de domste actie waar ik in lange tijd van heb gehoord", zegt Khalil Sehnaoui van Krypton Security gegenover ZDNet. Ook Tod Beardsley van beveiligingsbedrijf Rapid7 is niet gelukkig met de actie. "Zomaar een USB-stick in de computer steken zonder te weten waar die precies vandaan komt is een slecht idee", zo merkt hij op. Hij waarschuwt dat het aanleren van gebruikers dat ze een USB-stick die via de post verstuurd wordt kunnen vertrouwen een gevaarlijk gedragspatroon schept en de deur openzet voor criminelen om hier gebruik van te maken.
Chris Kennedy van anti-fraudebedrijf Trustev vindt de beslissing om USB-sticks rond te sturen "ongelooflijk onverantwoord" en "onveilig". Kennedy is vooral bang dat de USB-sticks worden onderschept. Ook op Twitter reageren gebruikers met verbazing. "Het is nu een goed moment om USB-sticks met exploits naar willekeurige Chrysler-eigenaren te sturen", zo laat een Twitteraar weten. Beardsley adviseert eigenaren van een Chrysler om naar een dealer te gaan. Aangezien er dan tenminste nog een papierspoor is dat laat zien dat er een betrouwbare partij is gezocht. Chrysler stelt in een reactie dat de maatregel is gekozen om het gemak voor klanten te vergroten.
Deze posting is gelocked. Reageren is niet meer mogelijk.