Test-Aankoop liet een team van ethische hackers van Context Information Security los op een Ford Focus en Volkswagen Polo. Ze doken onder meer in de mobiele apps, het infotainment-systeem, de autosleutels en het interne CAN bus-systeem. Ze vonden verschillende kwetsbaarheden die ernstige gevolgen kunnen hebben voor je privacy en veiligheid.
Auto’s lijken steeds meer op computers. En wie computer zegt, zegt kwetsbaar voor hackers. In de zomer van 2019 kocht Test-Aankoop een Ford Focus en Volkswagen Polo en stuurde die voor een uitvoerige veiligheidstest naar een cybersecuritybedrijf uit Londen. Vijf andere Europese consumentenorganisaties namen deel aan de test.
Bij beide auto’s stelde Test-Aankoop veiligheidsproblemen vast die een grote impact kunnen hebben, indien hackers ze zouden misbruiken.
Zo geraken hackers binnen
De meest kritische kwetsbaarheid vonden de ethische hackers bij de infotainment-unit van de Volkswagen Polo. Die staat onder andere in verbinding met de tractiecontrole en het risico bestaat dat hackers het veiligheidslek kunnen misbruiken om met de tractiecontrole te knoeien.
Andere problemen hadden te maken met de autosleutels, een oud zeer waarvan je zou verwachten dat de auto-industrie het ondertussen heeft opgelost. Bij de Volkswagen Polo zouden criminelen nog steeds makkelijk toegang tot de auto kunnen krijgen. De Ford-sleutel maakt gebruik van iets veiligere technologie, maar de onderzoekers ontdekten toch een kwetsbaarheid die een hacker in staat stelt om het signaal dat de motor start te blokkeren.
Bij de Volkswagen Polo was het mogelijk om het ontgrendelingssignaal van de autosleutel te onderscheppen en deze later te gebruiken om de auto te ontgrendelen.
Kwetsbaarheden waren er ook op het niveau van de sensoren. Bij de Ford Focus slaagden de onderzoekers erin om de boodschappen tussen de bandendruksensoren en het dashboard te onderscheppen. Het risico bestaat dat hackers foutieve boodschappen kunnen laten sturen, zoals de melding dat de bandendruk normaal is, terwijl de banden eigenlijk leeg zijn.
Met behulp van eenvoudige apparatuur konden ze bij de Ford Focus de boodschappen tussen de banden en het dashboard onderscheppen.
Bij beide auto’s waren er ook slordigheden in de programmatie. Dat lijkt misschien onbelangrijk, maar het kan hackers helpen om een aanval op te zetten.
Aan de haal met je privacy?
En het gaat niet enkel om veiligheid. Aangezien moderne auto’s heel wat gegevens genereren, is ook privacy een aandachtspunt: wat gebeurt er met die gegevens en waarvoor worden ze gebruikt?
Als je de Ford Focus-app downloadt, ga je er bijvoorbeeld mee akkoord dat Ford de locatie van je wagen en je bestemmingen bijhoudt. Of “rijeigenschappen” zoals snelheid, gebruik van het gaspedaal, remmen, sturen, veiligheidsgordels enzovoort. Ford kan die informatie bovendien delen met derde partijen.
Ook al is die datacollectie niet meteen onwettig, het is belangrijk te beseffen dat de omvang ervan heel erg groot kan zijn en dat jouw data heel waardevol zijn voor autofabrikanten.
Verkoop je auto, niet je gegevens
Houd er ook rekening mee dat er in je auto zelf heel wat gegevens worden opgeslagen. Om te voorkomen dat een toekomstige koper zomaar toegang krijgt tot je persoonlijke gegevens moet je een soort van “master-reset” doen. In een video van zusterorganisatie Which? (onderaan deze pagina) zie je hoe je te werk moet gaan.
Betere regelgeving nodig
Koop je vandaag een auto, dan weet je niet of die voldoende beveiligd is tegen cyberaanvallen. Veiligheid wordt nog altijd onvoldoende meegenomen in het design. Fabrikanten zijn nog niet verplicht om aan de bestaande standaarden te voldoen.
Verschillende instanties werken momenteel aan een nieuwe regelgeving om te zorgen dat alle nieuwe auto’s beter beschermd worden, al is niet duidelijk wanneer die in werking zal treden en of ze vertaald zal worden in verplichte cyberveiligheidsmaatregelen.
Ook op het vlak van privacy zijn er duidelijkere richtlijnen nodig. Geconnecteerde auto’s verzamelen een enorme hoeveelheid waardevolle data. Het is de consument die in de bestuurdersstoel zit: hij moet zijn data kunnen overdragen en bepalen wie toegang mag hebben.
Bron: Test-Aankoop