Controle over auto's van veraf

Onderzoekers die de afgelopen twee jaar de beveiliging van computersystemen in auto's hebben bestudeerd, hebben aangetoond dat ze voertuigen draadloos kunnen besturen.





Gehackt dashboard: Onderzoekers hebben eerder aangetoond dat ze onder meer het dashboard van een auto kunnen bedienen.

De onderzoekers waren in staat om alles te bedienen, van de remmen van de auto tot de deursloten tot de geautomatiseerde dashboarddisplays door toegang te krijgen tot de boordcomputer via GM's OnStar en Ford's Sync, evenals via de Bluetooth-verbindingen die bedoeld zijn om handsfree te bellen. Ze presenteerden deze week hun bevindingen aan de National Academies Comité voor elektronische voertuigcontrole en onbedoelde acceleratie , die deels werd bijeengebracht als reactie op het schandaal van vorig jaar over vermeende problemen met de geautomatiseerde remsystemen in Toyota Priuses.

Het team, inclusief Tadayoshi Kohno , een assistent-professor computerwetenschappen aan de Universiteit van Washington, en Stefan Savage , een professor in computerwetenschappen aan de Universiteit van Californië, San Diego, had eerder aangetoond dat ze de computersystemen van een auto konden overnemen, op voorwaarde dat ze fysieke toegang hadden tot de diagnostische poort van het voertuig - een federaal verplicht toegangspunt onder de dashboard in bijna alle moderne auto's.

Met het nieuwe werk analyseerden de onderzoekers systematisch manieren waarop ze bij de computersystemen van een auto konden komen zonder fysieke toegang. Ze gebruikten een sedan uit 2009 die in massaproductie was uitgerust met minder computersystemen dan veel high-end auto's. Voor elke aanval die slaagde, bevestigden ze dat ze de volledige controle over alle interne computersystemen van de auto konden krijgen.

De onderzoekers vielen het Bluetooth-systeem van de auto aan, waarmee een bestuurder handsfree kan bellen. Ze ontdekten een kwetsbaarheid in de manier waarop het Bluetooth-systeem was geïmplementeerd, waardoor ze code konden uitvoeren om de auto over te nemen. Om dit te doen, gebruikten de onderzoekers een smartphone die al aan de auto was gekoppeld of vonden ze een manier om ongeoorloofd een nieuwe smartphoneverbinding te autoriseren.

Tegenwoordig zijn veel auto's uitgerust met mobiele verbindingen die veiligheidsfuncties uitvoeren, zoals automatisch om hulp roepen als de bestuurder een ongeval heeft. De onderzoekers ontdekten dat ze de controle over dit systeem konden krijgen door het authenticatiesysteem te doorbreken. Eerst deden ze ongeveer 130 telefoontjes naar de auto om toegang te krijgen, en vervolgens uploadden ze de code met 14 seconden audio. De onderzoekers vonden ook andere manieren om toegang te krijgen, bijvoorbeeld via de mediaspeler van de auto.

We waren verrast toen we ontdekten dat het aanvalsoppervlak zo breed was, zegt Kohno, verwijzend naar de grote verscheidenheid aan manieren waarop de onderzoekers toegang konden krijgen tot de computersystemen van de auto.

Het team analyseerde ook mogelijke aanvalsscenario's. Ze toonden bijvoorbeeld aan dat hightech autodieven naar gewenste automodellen konden zoeken, hun locaties konden identificeren en ze konden ontgrendelen, allemaal zonder enige inbraak. Ze kunnen kwaadwillig toezicht houden, zoals een auto dwingen om met regelmatige tussenpozen zijn GPS-locatie uit te zenden. Ze zouden ook een auto kunnen saboteren, bijvoorbeeld door de remmen uit te schakelen.

Er is geen bewijs dat een van deze aanvalsscenario's door criminelen is gebruikt en er is weinig direct gevaar voor consumenten, aldus de onderzoekers. Zowel Stefan als ik voelen ons nog steeds perfect op ons gemak bij het besturen van onze auto's, zegt Kohno.

Dit kostte 10 onderzoekers twee jaar om te bereiken, voegt Savage toe. Het is niet iets dat één man in zijn garage gaat doen.

Het kan echter tijd zijn voor fabrikanten om op zoek te gaan naar manieren om auto's te beschermen tegen aanvallen van hackers. Louis Lanzerotti , een vooraanstaand onderzoeksprofessor in de natuurkundeafdeling van het New Jersey Institute of Technology en de voorzitter van de commissie voor elektronische voertuigbesturing en onbedoelde acceleratie, zegt dat de onderzoekers waren uitgenodigd om op het evenement te spreken als onderdeel van de beoordeling van elektronische voertuigbedieningen, systemen en veiligheid in de hele branche. De groep zal de verzamelde informatie verzamelen om aanbevelingen te doen aan de National Highway Traffic Safety Administration met betrekking tot manieren om ervoor te zorgen dat elektronische voertuigbedieningen veilig zijn.

Het aanvallen van auto's op afstand vergroot de dreiging aanzienlijk en vergroot de impact van dit en het eerdere werk van [de onderzoekers] aanzienlijk, zegt: Aurélien Francillon , een onderzoeker in de systeembeveiligingsgroep van ETH Zürich, in Zwitserland, die ook heeft gewerkt aan autobeveiliging. Het is tijd voor autofabrikanten, aangezien ze softwarebedrijven worden, om softwarebeveiliging zeer serieus te nemen en zowel algemene best practices op het gebied van softwarehardening als formele ontwerp- en verificatiemethoden toe te passen. Hoewel Francillon erkent dat dit de kosten van de ontwikkeling en engineering van systemen voor auto's zal verhogen, is hij van mening dat extra investeringen nodig zullen zijn naarmate meer software-aanvallen openbaar worden.

Sommige fabrikanten werken al aan een betere beveiliging, merkt Francillon op, en er zijn verschillende Europese onderzoeksprojecten aan de gang, zoals: Voorkomen , naast het werk dat wordt gedaan door het Center for Automotive Embedded Systems Security.

Savage is van mening dat, ondanks het brede scala aan kwetsbaarheden die het onderzoek heeft gevonden, de problemen zullen worden aangepakt. Mogelijk zien we hier een goed resultaat, zegt hij.

zich verstoppen