image

Hacker kan nu ook BMW en Mercedes op afstand openen

zaterdag 15 augustus 2015, 12:57 door Redactie, 19 reacties

De bekende hacker Samy Kamkar die onlangs een tool presenteerde waarmee hij auto's van General Motors op afstand kon openen en starten heeft zijn apparaat uitgebreid, waardoor ook auto's van BMW, Mercedes-Benz en Chrysler niet meer veilig zijn. Dat heeft Kamkar via Twitter bekendgemaakt.

Net als General Motoros bieden de andere fabrikanten een smartphone-app om te auto te vinden, te openen en te starten. Het gaat dan om BMW Remote, Mercedes-Benz mbrace en Uconnect van Chrysler. Kamkar ontwikkelde voor 100 dollar een klein apparaatje, de OwnStar, dat op een auto of truck moet worden geplaatst en de communicatie van de smartphone naar de app kan onderscheppen.

De Ownstar bestaat uit een Raspberry Pi en drie radio's en kan zich voordoen als een vriendelijk netwerk. Zodra de gebruiker de app start en de smartphone binnen het bereik van het apparaatje is wordt een man-in-the-middle-aanval uitgevoerd om de inloggegevens van de gebruiker te stelen. Vervolgens worden deze gegevens via een 2G gsm-verbinding naar de aanvaller gestuurd. Met de inloggegevens kan een aanvaller vervolgens de auto volgen, de deuren openen, de motor starten of de claxon of het alarm laten afgaan.

Het probleem met de apps is dat die wel SSL gebruiken om versleuteld gegevens uit te wisselen, maar het certificaat niet goed controleren om er zeker van te zijn dat er ook met de echte servers van de mobiele dienst wordt gecommuniceerd. General Motors verhielp het probleem, maar Kamkar ontdekte dat het probleem ook bij BMW, Mercedes-Benz en Chrysler speelt. Volgens de hacker zijn de auto's hierdoor eenvoudig aan te vallen. De fabrikanten werken inmiddels aan een update, maar die is nog niet beschikbaar. Kamkar adviseert autobezitters dan ook om de betreffende apps voorlopig niet te gebruiken.

Image

Reacties (19)
15-08-2015, 13:15 door Anoniem
Topje van de ijsberg. En het gaat nog veel leuker worden met alle 'net-enabled' auto's. Maar ja, het is hip...
15-08-2015, 13:31 door Anoniem
Nou, hacker, dus rechteloos en schuldig, dus opsluiten.
15-08-2015, 14:10 door Anoniem
Vroegah!! toen auto's geen computers en apps nodig hadden om over de weg te rijden.
15-08-2015, 15:15 door Anoniem
Het is bizar dat dit soort kwetsbaarheden niet worden verholpen *voordat* zo'n systeem op de markt komt.
15-08-2015, 15:46 door Anoniem
Zolang ze van mijn fiets afblijven vind ik het tamelijk amusant. Keyless entry ... een geniale marketing truc die nu ergens in de modder vastloopt. Heerlijk.
15-08-2015, 16:30 door Anoniem
Altijd een geweldig merk gevonden. Hun vliegtuigmotoren waren geen succes maar hun auto's waren altijd een brok techniek; mechanica en elektronica wat naadloos en betrouwbaar samenwerkte, en dat al in de jaren 70. 6-cylinder wagens met karakter en na 500 000 km nog betrouwbaar starten en mee op vakantie.

Jammer dat ze ontwerp van steeds meer (elektronica) producten uitbesteden en dus geen idee hebben hoe het werkt en waar het mis gaat. Betrouwbaarder worden hun auto's er in ieder geval niet op. En als ze de trends blijven nalopen eindigen ze waarschijnlijk als een 2e Nokia.

Maar goed, zekering van de gsm module eruit, probleem opgelost.
15-08-2015, 21:23 door Anoniem
Door Anoniem: Het is bizar dat dit soort kwetsbaarheden niet worden verholpen *voordat* zo'n systeem op de markt komt.
Bijna goed, vervang "bizar" door "gebruikelijk" en je scoort de volle mep. We hebben het hier wel over consumentenartikelen hé?

Ik ga wat meer tijd besteden aan het opknappen van die Golf I komende winter ;)
15-08-2015, 23:16 door Anoniem
Door Anoniem: Altijd een geweldig merk gevonden. Hun vliegtuigmotoren waren geen succes maar hun auto's waren altijd een brok techniek; mechanica en elektronica wat naadloos en betrouwbaar samenwerkte, en dat al in de jaren 70. 6-cylinder wagens met karakter en na 500 000 km nog betrouwbaar starten en mee op vakantie.

Jammer dat ze ontwerp van steeds meer (elektronica) producten uitbesteden en dus geen idee hebben hoe het werkt en waar het mis gaat. Betrouwbaarder worden hun auto's er in ieder geval niet op. En als ze de trends blijven nalopen eindigen ze waarschijnlijk als een 2e Nokia.

Maar goed, zekering van de gsm module eruit, probleem opgelost.

Welk merk bedoel je nou?
16-08-2015, 13:34 door Anoniem
Mercedes. Bmw haalt 4 ton net en chrysler de 2 ton niet eens.
16-08-2015, 20:54 door Anoniem
Door Anoniem:
Door Anoniem: Altijd een geweldig merk gevonden. Hun vliegtuigmotoren waren geen succes maar hun auto's waren altijd een brok techniek; mechanica en elektronica wat naadloos en betrouwbaar samenwerkte, en dat al in de jaren 70. 6-cylinder wagens met karakter en na 500 000 km nog betrouwbaar starten en mee op vakantie.

Jammer dat ze ontwerp van steeds meer (elektronica) producten uitbesteden en dus geen idee hebben hoe het werkt en waar het mis gaat. Betrouwbaarder worden hun auto's er in ieder geval niet op. En als ze de trends blijven nalopen eindigen ze waarschijnlijk als een 2e Nokia.

Maar goed, zekering van de gsm module eruit, probleem opgelost.

Welk merk bedoel je nou?

Bayerische Motoren Werke; Mercedes heeft geen vliegtuigmotoren geproduceerd.... ;)
16-08-2015, 21:07 door Anoniem
Door Anoniem:
Door Anoniem: Altijd een geweldig merk gevonden. Hun vliegtuigmotoren waren geen succes maar hun auto's waren altijd een brok techniek; mechanica en elektronica wat naadloos en betrouwbaar samenwerkte, en dat al in de jaren 70. 6-cylinder wagens met karakter en na 500 000 km nog betrouwbaar starten en mee op vakantie.

Jammer dat ze ontwerp van steeds meer (elektronica) producten uitbesteden en dus geen idee hebben hoe het werkt en waar het mis gaat. Betrouwbaarder worden hun auto's er in ieder geval niet op. En als ze de trends blijven nalopen eindigen ze waarschijnlijk als een 2e Nokia.

Maar goed, zekering van de gsm module eruit, probleem opgelost.

Welk merk bedoel je nou?

BMW natuurlijk. Het logo van BMW moet een vliegtuigpropeller voorstellen, zodoende.
Anoniem van 13:34 hierboven zit ernaast met Mercedes.
17-08-2015, 07:12 door Anoniem
Het is wel heel erg gemakkelijk voor de politiestaat als mensen vrijwillig zo een backdoored auto aanschaffen. Ze kunnen realtime volgen waar je bent en waarschijnlijk ook meeluisteren. Ze kunnen aan de sensors zien hoeveel mensen er in de auto zitten. Is dit echt nodig?
17-08-2015, 07:14 door Anoniem
Door Anoniem: Nou, hacker, dus rechteloos en schuldig, dus opsluiten.

Nou, impulsieve commenter, irritant en niet nadenkend, dus opsluiten.
17-08-2015, 08:47 door Anoniem
Is een wireless on/off knopje op je dashboard geen goedkope oplossing :)
17-08-2015, 09:56 door Anoniem
Door Anoniem: Nou, hacker, dus rechteloos en schuldig, dus opsluiten.

Wie bedoel je?
De fabrikant die een ondeugdelijk product maakt? Of degene die aantoont dat ze een ondeugdelijk product maken?

Wat nu als het om de remmen zou gaan die kunnen falen, en er is iemand die aan kan tonen dat de fabrikant een auto op de markt gebracht heeft waar de remmen kunnen falen, is die dan rechteloos en moet die opgesloten worden? (je krijgt bij sommige fabrikanten wel het idee dat men er zo tegen aan kijkt, maar goed...)

Beetje kortzichtige opmerking dus.

Q
17-08-2015, 11:18 door Anoniem
Door Anoniem: Het is wel heel erg gemakkelijk voor de politiestaat als mensen vrijwillig zo een backdoored auto aanschaffen. Ze kunnen realtime volgen waar je bent en waarschijnlijk ook meeluisteren. Ze kunnen aan de sensors zien hoeveel mensen er in de auto zitten. Is dit echt nodig?

Nu heb je nog de keuze er een (niet) aan te schaffen, straks is het overal standaard. Fabrikanten willen slechts nieuwe snufjes bedenken, maar ze hebben niet door dat ze alleen maar dingen bedenken die misbruikt gaan worden, en niet echt iets toevoegen. Is het namelijk echt een revolutie om je auto open te maken met een telefoon ipv een klassieke sleutel? Van die sleutel gaan in ieder geval nooit de batterijen leeg, als als dat wel zou gebeuren krijg je nog steeds (als enige) je auto open.

Maar goed; je kan dergelijke auto's weigeren, de gsm hardware en WiFi modules eigenhandig eruit slopen of je spreekt bij het kopen van de auto met de dealer af dat alle troep eruit gehaald is als je auto afgeleverd wordt, zo niet, gaat de deal niet door. Moet je eens kijken als iedereen dat doet hoe snel een merk zich aanpast aan de consument.

Uiteraard zijn fabrikanten straks verplicht 4G in de auto te bouwen, vanwege het e-call systeem. Dan moet je dus zelf kabeltjes gaan doorknippen.

Of je kan het allemaal negeren natuurlijk, dan gaat het probleem vanzelf weg.

Een wireless knop is leuk, maar dan moet je ook de garantie hebben dat alle zenders en ontvangers in de auto daadwerkelijk uitgeschakeld worden. Iets wat door E-call al onmogelijk is.

Na het start-stop systeem zijn deze remote systemen de meeste idiote toevoeging wat men in een auto kan stoppen.

Oldtimers rijden geeft daarom nog het meeste vrijheidsgevoel (buiten traject controles). Maar met de rfid nummerplaat is dat ook voorbij.

En zelfrijdende auto's gaan het ook niet worden, omdat autorijden mensen het gevoel geeft dat er nog iets is waar ze zelf de controle over hebben. Neem je dat weg, is er eigenlijk niets meer over waar mensen zelf de controle over hebben.
17-08-2015, 14:50 door _R0N_ - Bijgewerkt: 17-08-2015, 14:52
Bij mijn auto gelukkig geen last van dat soort onzin, daar moet je gewoon nog instappen en de sleutel in het contact steken om hem te starten.
17-08-2015, 21:23 door Anoniem
Hierbij een link naar een Mercedes vliegtuigmotor. http://nimh-beeldbank.defensie.nl/memorix/3656e896-e550-aae1-2c7b-8ae7719fc48d
18-08-2015, 04:10 door Eric-Jan H te D
Vroeger kon je je auto nog goed beveiligen door hem onbetaald in Amsterdam te parkeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.