Verbonden auto makkelijk te hacken en te saboteren
Kaspersky heeft een ernstig beveiligingslek ontdekt bij een autofabrikant waarvoor het een veiligheidsaudit uitvoerde. Door een kwetsbaarheid in een publiek toegankelijke applicatie van een externe leverancier kon het team van Kaspersky volledige controle krijgen over het telematicasysteem van alle verbonden voertuigen. Zo kunnen aanvallers de auto van versnelling laten veranderen of, nog gevaarlijker, de motor uitschakelen tijdens het rijden. Op die manier een auto hacken is vanzelfsprekend een actie die levens in gevaar kan brengen.
Zwakke plekken blootgelegd
De audit maakte duidelijk dat er verschillende zwakke plekken waren via diensten die met het internet zijn verbonden. Via een SQL-injectie in een wiki-app (die gezamenlijk werken toelaat) kregen ze eerst toegang tot gebruikersgegevens en zwakke wachtwoorden. Daarmee konden ze binnen het opvolgsysteem van die leverancier gevoelige configuratiedetails over de telematica (de combinatie van hardware en software die een voertuig met het internet verbindt, zodat het op afstand kan worden gemonitord) bemachtigen. Daarbij vonden ze een bestand met gehashte (beveiligde) wachtwoorden voor de telematicaservers.
Daarna gaven een fout geconfigureerde firewall en extra gelekte inloggegevens volledige toegang. Uiteindelijk konden ze aangepaste firmware uploaden naar de Telematics Control Unit (TCU), waardoor ze kritieke functies zoals motor en transmissie konden manipuleren vanop afstand.
Fabrikanten, let op!
De problemen komen volgens Kaspersky door veelvoorkomende fouten: zwakke wachtwoorden, geen tweefactorauthenticatie, slecht afgescheiden systemen en onversleutelde data. Het blootleggen van dit lek maakt in elk geval duidelijk dat één zwakke schakel bij een leverancier kan leiden tot een groot beveiligingslek voor een autofabrikant. Om welk automerk het gaat, vertelt Kaspersky natuurlijk niet.
