Auto Hacking Project Volkswagen & Audi

Controle over het navigatiesysteem

Onderzoeksdoel: “Kunnen we het rijgedrag of kritieke beveiligingssystemen van een auto beïnvloeden via een internetaanvalvector?”

Het is ons gelukt om op afstand toegang te krijgen tot het systeem. Dit betekent dat aanvallers in bepaalde situaties gesprekken die de bestuurder via een autokit voerde konden afluisteren, de microfoon aan en uit konden schakelen en ook toegang hadden tot het volledige adresboek en de gespreksgeschiedenis. Daarnaast was het door de kwetsbaarheid mogelijk om via het navigatiesysteem precies te achterhalen waar de bestuurder was geweest, evenals live te volgen waar de auto zich op elk moment bevond. Dit zijn allemaal factoren waardoor de privacy van de bestuurder ernstig kan worden geschaad.

De systemen waar we toegang toe konden krijgen zijn indirect verbonden met de systemen die verantwoordelijk zijn voor remmen en accelereren. Omdat het hacken van dergelijke systemen illegaal is en het intellectuele eigendom van de fabrikant daarmee wordt geschonden, is toen besloten het onderzoek te stoppen.

Modernisering van het updatebeleid

Direct na de ontdekking hebben we het lek gemeld bij de Volkswagen Groep. Zij hebben ons inmiddels kunnen informeren dat de kwetsbaarheden zijn opgelost. Dit betekent echter niet dat het gevaar voorbij is. Het is namelijk onmogelijk om dit type infotainmentsysteem op afstand te updaten, wat betekent dat auto’s die dit systeem al gebruiken nog steeds kwetsbaar zijn. En als je terecht mag aannemen dat een auto gemiddeld 18 jaar oud is wanneer deze wordt afgedankt, dan zijn er nog vele jaren waarin aanvallers dat systeem kunnen misbruiken.

Daarom pleiten wij voor modernisering van het updatebeleid door de auto-industrie, om het voor consumenten gemakkelijker te maken de softwaresystemen in hun auto’s bij te werken naar de meest recente versie. Dit zou betekenen dat ze altijd beschermd kunnen zijn tegen de nieuwste bedreigingen.