Hackers kunnen op afstand remmen uitschakelen

Beveiligingsonderzoekers hebben kwetsbaarheden gevonden in het onboardsysteem van recente Chrysler-auto's. Aanvallers kunnen over het internet bijvoorbeeld de remmen opeens inschakelen, de motor uitzetten of de remmen helemaal uitzetten meldt de Nederlandse tech-site Tweakers.net.

Het is niet duidelijk of Nederlandse auto's ook kwetsbaar zijn; beveiligingsonderzoekers Charlie Miller en Chris Valasek testten hun bevindingen op een Amerikaanse Jeep Cherokee. De kwetsbare functionaliteit, UConnect, is in ieder geval ook aanwezig op recente Nederlandse Chrysler-auto's.

UConnect biedt gebruikers onder meer de mogelijkheid om entertainment te bekijken en te bellen; het systeem biedt ook een wifi-hotspot.

2014 Jeep Grand Cherokee SRT 09

De schaduwzijde is dat UConnect hackers de mogelijkheid geeft om de auto te saboteren. Daarbij gaat het om modellen van eind 2013, heel 2014 en begin 2015, hoewel de volledige hack dus enkel is getest op de Jeep Cherokee.

De aanvallers kunnen over het internet, dus zonder afstandslimiet, onder meer de remmen helemaal uitschakelen, opeens activeren of de motor uitzetten, al kon dat laatste enkel op lagere snelheden. Ook kunnen ze op afstand zien hoe hard de auto gaat en waar hij is. Ze werken nog aan een manier om de auto te besturen. De auto moet daartoe dus wel zijn verbonden met internet.

Chrysler, dat vooraf op de hoogte is gesteld door de onderzoekers, heeft inmiddels een patch uitgebracht, maar bestuurders moeten die handmatig met behulp van een usb-stick installeren. Ook kunnen ze een bezoek brengen aan een monteur. Doordat de update niet automatisch wordt geïnstalleerd, is de kans groot dat veel auto's kwetsbaar zullen blijven voor het beveiligingsprobleem.

De onderzoekers zullen op de Black Hat-beveiligingsconferentie in Las Vegas meer details over hun hack bekendmaken. Op dit moment willen ze enkel kwijt dat het voldoende is om het ip-adres van een auto te weten om hem te kraken. Vervolgens kan eigen firmware op de auto worden geladen.

Welk beveiligingsprobleem daartoe wordt misbruikt, vertellen de onderzoekers pas op Black Hat. Daarbij zullen ze - tot onvrede van Chrysler - de nodige details over het beveiligingsprobleem naar buiten brengen, al wordt de firmware van Valasek en Miller niet gepubliceerd.

Leave a reply

%d bloggers like this: