Autohacken op afstand is nu een realiteit doug nieuwkomer

Tot nu toe werden demo's voor het hacken van auto's alleen uitgevoerd terwijl beveiligingsonderzoekers vast waren aangesloten op het elektrische systeem van een voertuig. Er was slechts één gedocumenteerd geval van autohacken op afstand in 2010, maar dat was een klus van binnenuit door een ontevreden medewerker van de autodealer, die meer dan 100 voertuigen heeft gemetseld door te profiteren van technologie die is ontworpen om inbeslagneming op afstand mogelijk te maken.

Maar eerder deze week toonden twee beveiligingsonderzoekers die het blootleggen van verbonden auto-kwetsbaarheden enigszins een kruistocht maakten op dramatische en ietwat gevaarlijke manier hoe ze in staat waren om kritieke systemen van een 2014 Jeep Cherokee op afstand uit te schakelen terwijl het voertuig op een snelweg in St. Louis was. Charlie Miller, een beveiligingsonderzoeker bij Twitter, en Chris Valasek, directeur van voertuigveiligheidsonderzoek bij IOActive, haalden twee jaar geleden de krantenkoppen door te laten zien hoe ze de claxon konden toeteren, de veiligheidsgordels konden omkeren, de remmen konden afremmen en het stuur van een Ford Escape en Toyota Prius van de achterbank met behulp van laptops en een fysieke verbinding met de voertuigen.

Hun opvolging, opnieuw met schrijver Andy Greenberg aan het stuur, was bedoeld om autobedrijven en autobezitters bang te maken door te bewijzen dat voertuigen op afstand kunnen worden gehackt om schade aan te richten op de snelweg. Terwijl ze in de kelder van Miller mijlen ver weg zaten, gebruikte het paar een beveiligingsprobleem in het Uconnect-infotainmentsysteem van het voertuig om de AC te laten knallen, af te stemmen op een hiphopradiostation en het stereosysteem te draaien, de ruitenwisser en wasmachine in te schakelen en een snarky foto op het dashboard van zichzelf in bijpassende trainingspakken.

Om hun punt over de kwetsbaarheden van moderne verbonden auto's naar huis te brengen, hebben ze de transmissie uitgeschakeld, waardoor de Jeep versnelling op de snelweg verliest, met een semi-invloed erop. Later, op een parkeerplaats, hebben ze ook de remmen van de Jeep gedeactiveerd, waardoor deze in een greppel gleed met Greenberg achter het stuur.

Automakers in actie brengen

Als het lezen hiervan je beangstigt, is dat precies het punt van de exploits van het paar. Meer in het bijzonder hopen ze het publiek bang te maken en op hun beurt automakers in actie te brengen op het gebied van cybersecurity. Hun nieuwste publiciteitsstunt is een opmaat naar het presenteren van hun externe hackonderzoek op de Black Hat-beveiligingsconferentie volgende maand in Las Vegas, zonder de details aan kwaadwillende hackers te onthullen. Miller en Valasek hebben ook maanden geleden Fiat Chrysler Automobiles op de hoogte gebracht zodat de automaker een patch kon uitgeven voor alle getroffen Uconnect-systemen - maar liefst 471.000 Chrysler-, Dodge-, Jeep- en Ram-voertuigen uitgerust met het 8, 4-inch U-Connect touchscreen-systeem.

Miller en Valasek verhoogden de inzet en gingen op afstand in hun auto-hacking werk, dat wordt gefinancierd door een Defensie Advanced Research Projects Agency (DARPA) subsidie, omdat hun demonstratie twee jaar geleden "niet de impact had op de fabrikanten die we wilden, "Vertelde Miller Wired . Veel mensen die betrokken zijn bij de auto-industrie (inclusief de uwe echt) vroegen zich af of een externe auto-hack met succes kon worden voltooid, en nu hebben Miller en Valasek alle twijfel weggenomen.

Het recente werk van Miller en Valasek is niet het enige geval van autohacken op afstand. Deze week hebben onderzoekers in Engeland een weg gevonden in de elektronica van een auto via de Digital Audio Broadcasting (DAB) -radiofunctie die vaak in Europa en Azië wordt gebruikt en waarmee een hacker kwaadaardige code kan verzenden om een ​​infotainmentsysteem over te nemen. De BBC meldde dat "een aanvaller het kon gebruiken als een manier om meer kritieke systemen te besturen, inclusief sturen en remmen." En in februari vond het Duitse equivalent van de Auto Club een beveiligingsfout in sommige BMW-voertuigen waardoor hackers de deuren op afstand konden ontgrendelen en BMW stuurde onmiddellijk een OTA-software-update via de ether om het beveiligingslek te verhelpen.

Tegenmaatregelen zoals OTA-updates komen steeds vaker voor, zoals Tesla heeft aangetoond, en automakers proberen de bedreiging voor het hacken van auto's voor te blijven door speciale beveiligingsexperts in te huren. Industriegroepen hebben onlangs ook een nieuw consortium opgericht, het Auto Information Sharing Advisory Centre (ISAC) genaamd, om cyberdreigingen te bestrijden.

Er is momenteel ook niet veel reden voor hackers om zich op auto's te richten, verder dan kwaadaardige grappen uithalen. "Gezien de motivatie van de meeste hackers is de kans erg klein", merkte Damon McCoy op, een universitair docent computerwetenschappen aan de George Mason University en onderzoeker van autoveiligheid. En Valasek zei: "het kost veel tijd vaardigheid en geld" om te bereiken wat hij en Miller hebben bereikt.

De dreiging van het hacken van auto's is 20 jaar geleden vergeleken met het ontluikende internet, toen computers voor het eerst verbinding begonnen te maken en de Black Hats kwetsbaarheden begonnen bloot te leggen en te exploiteren. Bedrijven als Microsoft werden op hun beurt gedwongen in de verdediging te gaan en beveiligingspatches uit te geven en zelfs nerds te belonen die een kwetsbaarheid met 'bugbounties' aan het licht hadden gebracht.

Maar het is niet 1995 en hackers zijn er in overvloed en meer verfijnd, en er zouden meer verbonden auto's op de weg kunnen zijn nu ze twee decennia geleden verbonden waren met computers. De laatste ronde van het hacken van auto's verhoogt de inzet aanzienlijk. "Dit is waar iedereen die aan autobeveiliging denkt, zich al jaren zorgen over maakt", zei Miller. "Dit is een realiteit."