Volkswagen is gevoelig gevonden to-car hacken kwetsbaarheden, een gedetailleerd rapport Computest onlangs onthuld. Onderzoekers opgegraven dat de IVI systemen (In-Vehicle Infotainment) in sommige Volkswagen modellen zijn kwetsbaar voor remote hacken. Deze kwetsbaarheden kunnen ook leiden tot het in gevaar brengen van andere kritische autosystemen.
Technische gegevens over de Research
Meer in het bijzonder, researchers Thijs Alkemade and Daan Keuper ontdekt de kwetsbaarheid in Golf GTE Volkswagen en de Audi3 Sportback e-tron. De fout kan leiden tot hackers om de controle over te nemen kritische functies in sommige gevallen. De functies zijn onder andere aan en uit draaien van de microfoon van de auto, beroep doet de microfoon om gesprekken van de bestuurder om te luisteren, en het verkrijgen van toegang tot de gespreksgeschiedenis en het adresboek van de auto. Daarbovenop, de onderzoekers zei dat de aanvallers ook de auto kon volgen via het navigatiesysteem.
Een toenemend aantal auto's zijn voorzien van een internetverbinding, en sommige auto's hebben zelfs twee mobiele verbindingen tegelijk, schreven de onderzoekers. Deze verbinding kan bijvoorbeeld worden gebruikt door de IVI systeem om informatie te verkrijgen, zoals kaartgegevens, of functionaliteiten bieden als een internet browser of een Wi-Fi hotspot of met de eigenaren van de mogelijkheid om een aantal functies te bedienen via een mobiele app te geven.
Voor hun rapport, de onderzoekers richtte zich specifiek op aanvalsvectoren die via het internet en zonder interactie van de gebruiker kan worden veroorzaakt. Het doel dat het onderzoek geïnspireerd was om te zien of het rijgedrag of andere veiligheidscomponenten in de auto kon worden beïnvloed. Met andere woorden, wilden de onderzoekers toegang tot de high-speed CAN-bus te krijgen, waarbij componenten zoals de remmen verbindt, stuurwiel en de motor.
Het onderzoek begon met een Volkswagen Golf GTE, van 2015, met de Auto-Net app:
Deze auto heeft een IVI-systeem vervaardigd door Harman, aangeduid als de modulaire infotainment platform (MIB). Ons model is uitgerust met de nieuwe versie (versie 2) van dit platform, die verschillende verbeteringen ten opzichte van de vorige versie had (zoals Apple CarPlay). Belangrijk om op te merken is dat ons model niet over een aparte simkaarthouder. We gingen ervan uit dat de mobiele verbinding gebruikt een ingebouwde SIM, in het systeem IVI, maar deze veronderstelling zou later blijken ongeldig te zijn.
We kunnen op afstand kan beschadigen het MIB IVI-systeem en vanaf daar stuur willekeurige kunnen berichten op de IVI CAN-bus. Dientengevolge, kunnen we het centrale scherm te bedienen, speakers, en microfoon. Dit is een niveau van toegang dat er geen aanvaller zou moeten kunnen bereiken.
De volgende stap van het onderzoek zou zijn geweest om te proberen om de controle over de veiligheid kritieke onderdelen van de auto te nemen, zoals remmen en optrekken van het voertuig.
Echter, na zorgvuldige overweging, de twee onderzoekers besloten om hun te stoppen op dit punt, omdat deze potentieel in gevaar zou brengen intellectuele eigendom van de fabrikant en mogelijk de wet overtreden.
Volkswagen Reactie op de Vulnerability Disclosure
Aangezien Volkswagen niet over een verantwoorde wijze aan het beleid vermeld op haar website, rapporteerden de onderzoekers de gebreken aan externe advocaat van Volkswagen in juli 2017. Een daadwerkelijke ontmoeting met het bedrijf kwam ook de volgende maand, Augustus.
Dit is wat de onderzoekers zei in een verklaring:
Tijdens onze ontmoeting met Volkswagen, we hadden de indruk dat de gerapporteerde kwetsbaarheid en vooral onze aanpak was nog onbekend. We begrepen in onze ontmoeting met Volkswagen dat, ondanks het feit dat het wordt gebruikt in tientallen miljoenen voertuigen wereldwijd, deze specifieke IVI-systeem heeft een formeel security-test ondergaan en de kwetsbaarheid was nog onbekend voor hen. Echter, in hun feedback voor deze paper Volkswagen verklaard dat ze al wisten over dit beveiligingslek.
Volkswagen gekeken naar de gebreken, en zei dat het niet zou gaan om een openbare verklaring te publiceren, maar zou liever herziening van de onderzoek om hun verklaringen te controleren. Het bedrijf deed herziening van de research paper, en de evaluatie zelf werd in februari afgerond, 2018. “In april 2018, vlak voordat het papier werd vrijgegeven aan het publiek, Volkswagen gaf ons een brief die de kwetsbaarheden bevestigt en vermeldt dat ze in een software-update zijn vastgesteld aan het infotainmentsysteem. Dit betekent dat auto's geproduceerd sinds deze update niet worden beïnvloed door de zwakke plekken vonden we,” concludeerden de onderzoekers.
Eindelijk, het moet nogmaals worden opgemerkt dat de gehackte automodellen waren afkomstig uit 2015. Als je toevallig de eigenaar van een Audi of Volkswagen vanaf dat jaar, moet u contact opnemen met uw autodealer om informatie te ontvangen over de software-update.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: