Autofabrikanten versnellen beveiligingsinspanningen na hackstunts

Je volgende auto heeft misschien een geweldige veiligheidsscore of betrouwbaarheidsscore, maar hoe hackbaar zal hij zijn?





Beveiligingsonderzoekers hebben onlangs verschillende trucs gedemonstreerd voor het hacken van auto's om de controle over componenten zoals de stereo en ruitenwissers, en zelfs de motor en remmen over te nemen. In een voorbeeld , hebben een paar experts op afstand het remsysteem van een Jeep Cherokee gedeactiveerd terwijl een journalist ermee op de weg reed.

Het is niet verwonderlijk dat autofabrikanten computerbeveiliging veel serieuzer zijn gaan nemen, maar ze zijn overrompeld door de snelheid van technologische veranderingen binnen de industrie, en vooral door hoe de toevoeging van connectiviteit auto's heeft opengesteld voor aanvallen. Tegelijkertijd voegen ze snel nieuwe functionaliteit toe die extra beveiligingsonderzoek vereist.

De fabrikant van elektrische auto's Tesla loopt voorop, met een auto die zowel sterk geautomatiseerd als geconnecteerd is en relatief goed beschermd is tegen hackers. In tegenstelling tot de meeste auto's op de weg, heeft de nieuwste Model S een intern computernetwerk dat verschillende systemen van elkaar scheidt, waardoor het moeilijker wordt voor hackers om van het ene systeem naar het andere te springen. De experts die de Jeep hebben gekraakt, gebruikten bijvoorbeeld het entertainmentsysteem om toegang te krijgen tot andere voertuigcomponenten. Andere autofabrikanten ontwikkelen nu soortgelijke systemen, zegt Joshua Corman , een onafhankelijk beveiligingsonderzoeker die overlegt met autobedrijven. Er is echt geen reden om de stereo tegen de remmen te laten praten, zegt hij.



Autofabrikanten herzien ook hun benadering van het omgaan met beveiligingsfouten en bugs, wat betekent dat ze beveiligingsonderzoekers zullen uitnodigen om hen te waarschuwen voor problemen en met hen samen te werken om ze te verhelpen (in plaats van te dreigen ze aan te klagen, zoals in het verleden is gebeurd). Tesla heeft contante premies aangeboden aan degenen die dergelijke problemen bekendmaken. Verschillende experts in het veld zeggen dat andere autobedrijven binnenkort hetzelfde zullen doen. Corman zegt dat twee autofabrikanten van plan waren om een ​​nieuwe aanpak te onthullen op Defcon, een grote computerbeveiligingsconferentie in Las Vegas, maar werden afgeschrikt door de negatieve pers die werd aangetrokken door de Jeep-hack.

Meer autofabrikanten bedenken ook manieren om de software op hun auto's op afstand te patchen, om problemen sneller op te lossen. Tot nu toe zijn alleen Tesla en BMW hiertoe in staat, maar Ford zei onlangs dat het de functionaliteit in zijn voertuigen zou introduceren, hoewel het niet specificeerde wanneer.

Veel experts zeggen echter dat autofabrikanten veel meer moeten doen. Corman ook pleitbezorgers , onder andere het toevoegen van een black box aan het computernetwerk in voertuigen, zodat hackaanvallen achteraf konden worden geregistreerd en opgespoord. Een dergelijk apparaat, of iets dergelijks, kan ook worden gebruikt om een ​​lopende aanval te detecteren en te stoppen.



Wetenschappers hacken al jaren auto's (zie Controle over auto's van veraf). Maar de introductie van mobiele connectiviteit heeft het gemakkelijker gemaakt om een ​​voertuig in gevaar te brengen. Craig Smith , een beveiligingsonderzoeker die de beveiliging voor veel autofabrikanten test, zegt dat hij in die hoedanigheid soortgelijke prestaties heeft geleverd als de Jeep-hack. Als het gaat om het vinden van een exploit, hoef je maar een paar nieuwe dingen te leren, zegt hij.

De meeste autofabrikanten laten smartphones verbinding maken met het dashboard via CarPlay van Apple en Android Auto van Google (zie De auto opnieuw opstarten). Zelfs als een auto geen eigen mobiele verbinding heeft, stellen deze systemen een bestuurder in staat om apps, kaarten en berichten op de console te bekijken en online informatie te vinden.

Autofabrikanten, evenals Google en Apple, zeggen dat deze systemen geen bedreiging vormen, omdat beide in wezen het scherm van de telefoon op het display van de auto projecteren. Ze manipuleren geen gegevens, zegt Brad Stertz, een woordvoerder van Audi, dat CarPlay en Android Auto aan voertuigen toevoegt.



Maar beveiligingsexperts zijn daar niet zo zeker van. Charlie Miller, een van de onderzoekers die de Jeep Cherokee heeft gehackt, zegt dat hij CarPlay of Android Auto niet heeft onderzocht, maar denkt dat ze waarschijnlijk een vector zijn, wat betekent dat ze een manier kunnen bieden om toegang te krijgen tot de rest van een auto.

Kevin Mahaffey, CTO van Lookout en een van de onderzoekers achter een recente Tesla-hack, zegt dat dit een mogelijkheid is waarmee rekening moet worden gehouden. Omdat auto's en telefoons veel meer met elkaar communiceren, denk ik dat het de beveiligingsproblemen begint te vermengen, zegt hij. Ik kan geen mededelingen doen over toekomstig onderzoek, maar de kruising van telefoons en veiligheidskritieke systemen vindt steeds meer plaats, dus het is een gebied waar we veel aandacht aan besteden.

Het is zeker nog best een uitdaging om een ​​auto te hacken. De Jeep-hack omvatte reverse-engineering en herprogrammering van een computerchip in het entertainmentsysteem van het voertuig. Toch beginnen de vereiste vaardigheden zich te verspreiden, naarmate meer exploit-broncode wordt gepubliceerd en meer mensen geïnteresseerd raken in voertuigbeveiliging.



Corman zegt dat ongeveer 10 experts mensen leerden hoe ze autohardware moesten hacken tijdens het Defcon-evenement: de populatie autohackers groeit snel.

zich verstoppen