Auto Hacking Project Volkswagen & Audi

Controle over het navigatiesysteem

Onderzoeksdoel: "Kunnen we het rijgedrag of kritieke beveiligingssystemen van een auto beinvloeden via een internetaanvalvector?"

Het is ons gelukt om op afstand toegang te krijgen tot het systeem. Dit betekent dat aanvallers in bepaalde situaties:

• Gesprekken die de bestuurder via een autokit voerde konden afluisteren
• De microfoon aan en uit konden schakelen
• Toegang hadden tot het volledige adresboek en de gespreksgeschiedenis
• Via het navigatiesysteem precies konden achterhalen waar de bestuurder was geweest
• Live konden volgen waar de auto zich op elk moment bevond

De systemen waar we toegang toe konden krijgen zijn indirect verbonden met de systemen die verantwoordelijk zijn voor remmen en accelereren. Omdat het hacken van dergelijke systemen illegaal is, is besloten het onderzoek op dat punt te stoppen.

Modernisering van het updatebeleid

Direct na de ontdekking hebben we het lek gemeld bij de Volkswagen Groep. Zij hebben ons inmiddels kunnen informeren dat de kwetsbaarheden zijn opgelost. Dit betekent echter niet dat het gevaar voorbij is. Het is namelijk onmogelijk om dit type infotainmentsysteem op afstand te updaten, wat betekent dat auto's die dit systeem al gebruiken nog steeds kwetsbaar zijn.

Daarom pleiten wij voor modernisering van het updatebeleid door de auto-industrie, om het voor consumenten gemakkelijker te maken de softwaresystemen in hun auto's bij te werken naar de meest recente versie. Dit zou betekenen dat ze altijd beschermd kunnen zijn tegen de nieuwste bedreigingen.