image

Onderzoekers vinden privacylek in infotainmentsysteem Volkswagen

vrijdag 20 april 2018, 11:12 door Redactie, 5 reacties

Het infotainmentsysteem dat in verschillende modellen van Volkswagen en Audi wordt gebruikt bevatte kwetsbaarheden waardoor de privacy van bestuurders risico liep, zo laat securitybedrijf Computest weten. Onderzoekers wisten via de kwetsbaarheden op afstand toegang tot het systeem te krijgen.

Vervolgens was het mogelijk om gesprekken die de bestuurder via een carkit voert af te luisteren, de microfoon aan- en uit zetten en het volledige adresboek en de gespreksgeschiedenis in te zien. Verder kon door de kwetsbaarheid worden achterhaald waar de bestuurder was geweest en was het mogelijk om de auto live te volgen. De onderzochte systemen zijn indirect verbonden met de systemen die ervoor zorgen dat de bestuurder kan remmen en gas geven.

Computest besloot het onderzoek echter te stoppen. "Als je de kwetsbaarheid van dit soort kritieke functies test ben je in feite illegaal bezig en maak je inbreuk op het intellectueel eigendom. Daar moet je echt heel voorzichtig mee omgaan. Zonder toestemming van de fabrikant doorgaan met het onderzoek was daarom voor ons geen optie", zegt directeur Hartger Ruijs. Na te zijn ingelicht heeft de Volkswagen Group een oplossing ontwikkeld. De update moet handmatig worden geïnstalleerd, aangezien het niet mogelijk is om het specifieke type infotainmentsysteem op afstand te updaten.

Reacties (5)
20-04-2018, 12:48 door Anoniem
Zouden de onderzoekers het hele verhaal vertellen over hun onderzoek of dat ze het op een accoordje hebben gegooid met Volkswagen vanwege de advocaten? Een uitleg als
Als je de kwetsbaarheid van dit soort kritieke functies test ben je in feite illegaal bezig
Bij de aanbevelingen aan de fabrikanten staat ook
Ethical hackers should not be considered as a threat
. Geen verduidelijking van de fabrikant wat volgens hun responsible disclosure of ethisch hacken is. De fabrikanten hebben zelfs geen responsible disclosure beleid. Er lijkt bij de fabrikanten er meer aan gelegen om het onderzoek niet te bevorderen.
Ethical hackers should not be threatened but encouraged to disclose findings to the manufacturer.

Vorige onderzoeken hebben al bewezen dat het fundamentele ontwerp van fabrikanten van voertuigen geen tot nauwelijks scheiding maakt tussen entertainment en cruciale functies van het voertuig. Het ontwerp van voertuigen die onderwerp waren van onderzoek zijn daarin niet bewezen verschillend en het is niet geloofwaardig dat de voertuigen veilig zijn als er toegang kan worden gekregen tot een onderdeel op het netwerk.

Niet verder onderzoeken en updates die pas bestaan na onderzoek maar niet toegepast worden maken honderdduizenden voertuigen mogelijk onveilig voor gebruik op de weg. Maar omdat de huidige wetgeving het niet verplicht om software in voertuigen te beveiligen en er geen testen zijn om de onveiligheid van voertuigen aan te tonen voor ze op de weg worden toegalaten valt dit risico voor fabrikanten en overheden weg. Het risico is verschoven naar de weggebruikers en omdat zowel de fabrikanten als de overheden er op dit moment geen belang bij hebben om wel verantwoordelijkheid te nemen houden we situaties waarbij fabrikanten onveilige software heel duur kunnen verkopen en daarmee kiezen om levens op het spel te zetten. We kopen die voertuigen toch wel en niemand die zich druk maakt over schijnveiligheid. De auto is immers goedgekeurd door de overheid en testcenters.
20-04-2018, 22:21 door Remmilou
Als je de kwetsbaarheid van dit soort kritieke functies test ben je in feite illegaal bezig en maak je inbreuk op het intellectueel eigendom
Is dat echt zo? Heeft iemand daar het antwoord op? Ik ben wel benieuwd naar wat Arnoud Engelfriet daar over kan zeggen...
22-04-2018, 21:00 door Anoniem
Door Remmilou:
Als je de kwetsbaarheid van dit soort kritieke functies test ben je in feite illegaal bezig en maak je inbreuk op het intellectueel eigendom
Is dat echt zo? Heeft iemand daar het antwoord op? Ik ben wel benieuwd naar wat Arnoud Engelfriet daar over kan zeggen...
Als een bedrijf een produkt maakt of verkoopt doen ze daar bijna altijd gebruiksvoorwaarden bij met een verbod op reverse engineering, disassembly of uitzoeken hoe het systeem werkt. Zelfs de grootste softwarebedrijven doen dat nog, ook al doen ze aan bug bounty of responsible disclosure. Als je het product wilt gebruiken dan hoor je rekening te houden met de rechten van de eigenaar en neem je een juridische gok door je eigen gang te gaan met hun product. Het is een afweging tussen ethiek en recht. En dan kan je bedrijven tegen komen die alleen maar aan recht denken en je als onderzoeker de mond willen snoeren door te dreigen met enorme schadeclaims vanwege reputatieschade en bescherming van bedrijfsgeheimen. Als een bedrijf geen responsible disclosure heeft kan het veiliger zijn om via een journalist de lekken te laten verhelpen en publiek te maken.
23-04-2018, 10:04 door Anoniem
Door Remmilou:
Als je de kwetsbaarheid van dit soort kritieke functies test ben je in feite illegaal bezig en maak je inbreuk op het intellectueel eigendom
Is dat echt zo? Heeft iemand daar het antwoord op? Ik ben wel benieuwd naar wat Arnoud Engelfriet daar over kan zeggen...

Volkswagen staat er om bekend dat ze liever geld uitgeven aan een rechtszaak tegen de onderzoeker dan aan het beveiligen en verbeteren van hun software.

Peter
24-04-2018, 18:43 door Anoniem
ah kunnen we nu de sjoemel software zelf rooten?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.