Beveiligingsexperts identificeren 20 meest hackbare auto's | doug nieuwkomer

BEKIJK ALLE FOTO'S IN GALERIE

Autohacking is op dit moment meer mediahype dan de realiteit. Zelfs Damon McCoy, universitair docent informatica aan de George Mason University en lid van het onderzoeksteam van Center for Automotive Embedded Systems Security dat auto's draadloos heeft gehackt, heeft erkend dat het huidige risico op een kwaadaardige aanval laag is.

En terwijl netwerkbeveiligingsexperts Charlie Miller en Chris Valasek verantwoordelijk zijn geweest voor enkele sensationele krantenkoppen met betrekking tot deze potentiële bedreiging, is het verklaarde motief achter de sterk gepubliceerde autohackstunts van het paar om autofabrikanten en anderen te laten letten op wat zij zeggen dat over het hoofd wordt gezien kwestie. Miller, een beveiligingsonderzoeker voor Twitter, en Valasek, directeur van voertuigveiligheidsonderzoek voor het adviesbureau IOActive, veroorzaakten vorig jaar opschudding toen ze een laptop gebruikten die was aangesloten op de Onboard Data Port (ODB) van een Ford Escape en Toyota Prius om brengen schade aan, variërend van toeterende claxons van de voertuigen tot het uitschakelen van hun remmen en het overnemen van de besturing.

Als follow-up en om de trom over het onderwerp autoveiligheid verder te laten knallen, heeft het tweetal deze week op de Black Hat USA-beveiligingsconferentie in Las Vegas een lijst van 20 voertuigen vrijgegeven en beoordeeld op hun kwetsbaarheid voor hacking. De beoordelingen waren gebaseerd op drie factoren: de netwerkarchitectuur van de voertuigen, hun "aanvalsoppervlak" via draadloze toegang zoals Bluetooth en een mobiele verbinding, en wat de onderzoekers "cyberfysische" functies noemen, zoals autonoom remmen en sturen. Vervolgens gaven ze elk van de drie factoren een plus om aan te geven of een voertuig vatbaarder is voor hacking of een min indien minder kwetsbaar.

En hoewel het lijkt dat naarmate auto's meer verbonden en technisch geavanceerd worden, hun "aanvalsoppervlak" en "cyberfysisch" hen bijzonder kwetsbaar zouden maken, geeft het werk van Miller en Valasek aan dat de netwerkarchitectuur de zwakste schakel is. Terwijl de Audi A8 bijvoorbeeld een van de meest technisch beladen luxe sedans op de markt is, wees het tweetal op de auto als een voorbeeld van een goed beschermde netwerklay-out, omdat de draadloze functies zijn gescheiden van de rijfuncties. Bijgevolg scoorde het een min in de categorie netwerkarchitectuur (maar een dubbel plus in aanvalsoppervlak en een enkel plus in cyberfysisch).

BEKIJK ALLE FOTO'S IN GALERIE

Maar de Infiniti Q50 (hierboven afgebeeld) en Jeep Cherokee hebben beide een onzekere netwerkarchitectuur, volgens Miller en Valasek. Dit komt omdat sommige verbonden infotainmentcomponenten op het voertuignetwerk zijn gekoppeld aan motor- en remsystemen die functies regelen zoals adaptieve cruise control en geautomatiseerde parallelle parkeerhulp. "Het is een beetje eng dat ze allemaal met elkaar kunnen praten, " zei Miller over de Q50 tegen Wired.

Moeten bestuurders zich zorgen maken?

In tegenstelling tot hun aangesloten, hands-on hacking van de Escape en Prius vorig jaar, werd het meest recente rapport van het paar samengesteld op basis van technische handleidingen en bedradingsschema's voor de voertuigen en het analyseren van hun computernetwerken op basis van die documenten. Ze benadrukken dat hun bevindingen met betrekking tot de beveiligingskwetsbaarheden van deze voertuigen niet doorslaggevend zijn en alleen moeten worden beschouwd als waarschuwingen voor mogelijke zwakke punten.

Ze voegde eraan toe dat ze de lijst samenstellen om niet alleen te laten zien welke voertuigen het meest kwetsbaar zijn, maar ook de auto-industrie of anderen aan te moedigen om actie te ondernemen. "Je kunt een Consumer Reports- magazine van een kiosk kopen en beoordelingen bekijken voor veiligheidsfuncties van auto's, " zei Valasek. "We doen hetzelfde, maar dan voor de cyberbeveiliging van voertuigen." (Miller en Valasek stelden onlangs ook een mogelijke oplossing voor om auto-hackers op afstand te houden: een prototype van een inbraakdetectieapparaat dat wordt aangesloten op de OBD-poort van een auto die ze in delen voor $ 150 hebben gebouwd.)

Verschillende autofabrikanten wier voertuigen niet goed op de lijst stonden, hebben op het rapport gereageerd. Chrysler zei in een verklaring dat zijn auto's "zijn uitgerust met beveiligingssystemen die helpen het risico van real-world bedreigingen te minimaliseren" en dat "het zal trachten deze claims te verifiëren en, indien gerechtvaardigd, zullen we ze herstellen." Cadillac, wiens Escalade 2015 de lijst maakte, zei in een verklaring dat de "beschrijving van het elektronische systeem van het voertuig niet volledig nauwkeurig is" en dat er elementen van de elektronische architectuur zijn "die privé zijn en niet toegankelijk voor onderzoekers (of dieven)."

Maar net zoals de uitbarsting van recente real-world hacks niet heeft geleid tot een groot aantal mensen om online transacties te vermijden of hun Facebook-accounts te annuleren, erkennen de onderzoekers dat op de lange termijn de voordelen van verbonden auto's opwegen tegen de risico's van potentiële hacks. "Een iPhone is veel meer hackbaar dan een mobiele telefoon uit de jaren 80, " vertelde Miller aan CNN. "Ik heb echter nog steeds liever een iPhone dan een oude mobiele telefoon. Hetzelfde geldt grotendeels voor de auto's."

BEKIJK ALLE FOTO'S IN GALERIE