MirrorLink door Connected Car Consortium is de eerste industriestandaard voor smartphones verbinden met in-vehicle infotainment systemen (IVI). Een recent uitgebreid onderzoek, getiteld 'Een Security Analysis van een In Vehicle Infotainment en App Platform' en uitgevoerd door Damon McCoy uitgevoerd, een assistent-professor aan de NYU Tandon School of Engineering en een groep studenten aan de George Mason University, gemelde beveiligingslekken in MirrorLink.
Onderzoekers vinden beveiligingslekken in MirrorLink
De kwetsbaarheden kan een aanvaller toegang tot een voertuig door middel van een smartphone toestaan. Dit kan zelfs worden gedaan wanneer MirrorLink is uitgeschakeld. De bevindingen van het onderzoek werden gepresenteerd op de 10e USENIX Workshop over Offensive Technologies (WOOT '16) in Austin, Texas.
Het onderzoek zelf wordt verondersteld om de eerste uitgebreide empirische zekerheid analyse van een smartphone aan de moderne IVI app protocol opgenomen in ten minste één 2015 model voertuig van een grote autofabrikant.
Dit IVI systeem omvat rudimentaire steun voor de MirrorLink protocol. Hoewel dit protocol is standaard uitgeschakeld, Het kan worden ingeschakeld door het veranderen van een enkele configuratie waarde na een openbaar beschikbare firmware-update die veilig door de fabrikant is ondertekend.
Sommige autofabrikanten ervoor kiezen om MirrorLink schakelen en gebruik een andere smartphone-to-IVI standaard. Echter, de onderzoekers gevonden dat MirrorLink eenvoudig inschakelen. Wanneer het wordt ontgrendeld, aanvaller kan een gekoppelde smartphone gebruiken en de overname van onderdelen van cruciaal belang voor de veiligheid, zoals antiblokkeersysteem van het voertuig. Het ergste is dat tuners, mensen of bedrijven die auto's aan te passen, onbedoeld slechte hackers te helpen door het ontsluiten onveilige functies.
McCoy in het bijzonder zei dat tuners zal wroeten voor dergelijke prototypes en zou eigenlijk ontgrendelen kwetsbare systemen. Bovendien, instructies over hoe om te ontgrendelen MirrorLink kunnen ook op YouTube te vinden! Een van deze instructie video is meer dan bekeken 60,000 tijden! belangwekkend, de onderzoekers zelf gebruikt, zoals openbare informatie te MirrorLink ontsluiten op een testvoertuig ze gekocht van eBay.
De automaker en leverancier weigerde om een security patch vrijgeven. Waarom, zij gewezen op het feit dat ze nooit ingeschakeld MirrorLink in de eerste plaats. McCoy waarschuwt dat dit is slecht nieuws voor bestuurders die MirrorLink mogelijk te maken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: