Met internet verbonden auto's bevatten allerlei kwetsbaarheden die vooral via datanetwerken, zoals mobiele netwerken of wifi-netwerken, kunnen worden aangevallen. Daarvoor waarschuwen onderzoekers van het Amerikaanse beveiligingsbedrijf IOActive in een nieuw rapport (pdf).

De onderzoekers waren de afgelopen drie jaar 16.000 uur bezig met het analyseren van de veiligheid van autosystemen. Voor het nu gepubliceerde onderzoek keken ze onder andere naar de kwetsbaarheden die het meest bij "connected" auto's worden aangetroffen en welke aanvalsvectoren het mogelijk maken om een voertuig te compromitteren. De kwetsbaarheden werden vervolgens in verschillende categorieën onderverdeeld.

Hoeveel beveiligingslekken er zijn geanalyseerd wordt niet in het rapport duidelijk gemaakt. Wel valt 50% in de categorie "hoog" of "ernstig". Dit houdt in dat de kwetsbaarheden het mogelijk maken om onderdelen, communicatie of gegevens te compromitteren waardoor een bestuurder de controle over het systeem deels of volledig kan verliezen. Wordt er gekeken naar de mogelijkheden om een autosysteem aan te vallen dan zijn vooral netwerken een probleem. 39% van de gevonden kwetsbaarheden is namelijk via het autonetwerk aan te vallen. Het gaat dan bijvoorbeeld om ethernet- en webverkeer.

Ook aanvallen via mobiele netwerken (16%) vormen een risico. Zeventien procent kan alleen door een lokale aanvaller worden uitgebuit. "Op het eerste gezicht lijkt dit een onwaarschijnlijke aanvalsvector, maar gezien de beschikbaarheid van app stores en softwaremodules van derde partijen is deze aanvalsvector net zo belangrijk als netwerkgebaseerde aanvallen", aldus de onderzoekers. Een andere aanvalsvector die opvalt is usb (13%). Een aanvaller kan bijvoorbeeld via een besmette computer aangesloten usb-sticks infecteren. Zodra een besmette usb-stick in de auto wordt aangesloten kan de aanval worden uitgevoerd.

Kwetsbaarheden

Als er naar het soort kwetsbaarheden wordt gekeken gaat het vooral om problemen die ook bij andere embedded-systemen voorkomen. Het gaat dan om programmeerfouten waardoor buffer overflows ontstaan, de aanwezigheid van vaste wachtwoorden en het gebruik van verouderde, onveilige softwarebibliotheken. Ook ontdekten de onderzoekers backdoors. Het gaat bijvoorbeeld om test-interfaces van ontwikkelaars die in de productiesystemen in de auto's achterblijven. Een aanvaller kan hier echter gebruik van maken.

Door te investeren in zaken als veilig programmeren, patchmanagement, het controleren en testen van code en andere best practices kunnen autofabrikanten alle gevonden problemen verhelpen. "De meeste beveiligingslekken in voertuigen zijn niet via "extra toevoegingen" te verhelpen, maar door het toepassen van goede ontwikkelmethodes, programmeerprincipes en andere best practices voor cybersecurity. Het meest effectieve cybersecurity-werk vindt plaats tijdens de planning, ontwerp en eerste implementatiefases van een product, waarbij de kosten van het oplossen van beveiligingsproblemen naarmate de leeftijd en complexiteit van het product steeds verder toenemen", zo concluderen de onderzoekers.