09.07.2014
Automotive

Connected cars: een overdaad aan comfort kan resulteren in onveilige situaties

By: Jeroen de Hooge

BlogAutomotive

Uit een nieuw onderzoek naar Connected Cars, gehouden om een overzicht te kunnen bieden van de markt voor connected cars, blijkt dat automobilisten de veiligheidsproblematiek met betrekking tot de in deze nieuwe generatie auto’s opgenomen communicatie- en internetdiensten niet langer kunnen negeren. Dit gaat veel verder dan alleen hulp bij het veilig parkeren van de auto; het omvat nu ook toegang tot sociale netwerken, e-mail, smartphoneconnectiviteit, routeberekening, apps voor in de auto, etc. Deze technologieën bieden bestuurders grote voordelen, maar brengen ook nieuwe risico’s met zich mee voor moderne gebruikers.

bmw-conneted-drive-screen
bmw-conneted-drive-screen

Het is volgens de onderzoekers essentieel om de verschillende vectoren te analyseren die kunnen leiden tot cyberaanvallen, ongevallen of zelfs frauduleus onderhoud van het voertuig.

Privacy, updates en smartphone apps voor deze auto’s kunnen worden veranderd in 3 afzonderlijke aanvalsvectoren voor cybercriminelen. “Connected cars kunnen de deur openen naar dreigingen die al veel langer bestaan in de pc- en smartphonewereld. Zo kunnen eigenaren van connected cars er bijvoorbeeld achter komen dat hun wachtwoorden zijn gestolen. Dit kan de locatie van het voertuig onthullen en biedt de mogelijkheid om de deuren op afstand te ontgrendelen. Privacykwesties zijn cruciaal en hedendaagse automobilisten moeten zich bewust zijn van nieuwe risico’s die voorheen nooit bestonden,” aldus Vicente Diaz, Principal Security Researcher bij Kaspersky Lab, die verantwoordelijk was voor de ontwikkeling van een ‘proof of concept’ om de veiligheidsimplicaties te analyseren van met het internet verbonden auto’s.

Het proof of concept is gebaseerd op de analyse van het BMW ConnectedDrive-systeem en toont enkele potentiële aanvalsvectoren:

Gestolen inloggegevens: Het stelen van de benodigde inloggegevens voor BMW’s website – met behulp van bekende middelen zoals phishing, keyloggers of social engineering – kan onbevoegden toegang verschaffen tot gebruikersinformatie en vervolgens tot het voertuig zelf. Vanaf dat moment is het mogelijk om een mobiele app te installeren met dezelfde inloggegevens en mogelijk externe services in te schakelen voordat men de auto opent en ermee wegrijdt.

Mobiele applicatie: Als u de service activeert om de auto mobiel op afstand te openen, maakt u in feite een nieuwe set sleutels aan voor uw auto. Als de toepassing niet is beveiligd, heeft iemand die de telefoon steelt toegang tot het voertuig. Met een gestolen telefoon is het mogelijk om databasetoepassingen te veranderen en elke pincodeverificatie te omzeilen, zodat een cyberaanvaller services op afstand kan activeren.

Updates: Bluetooth-stuurprogramma’s worden bijgewerkt door een bestand te downloaden van de BMW-website en dit te installeren via USB. Dit bestand wordt niet gecodeerd of ondertekend, en bevat een heleboel informatie over de interne systemen die op het voertuig worden uitgevoerd. Dit kan een potentiële aanvaller toegang geven tot de omgeving die het doelwit vormt, en kan ook worden aangepast om schadelijke code uit te voeren.

Communicatie: Sommige functies communiceren met de SIM-kaart in het voertuig, met behulp van SMS. Inbreken op dit communicatiekanaal maakt het mogelijk om ‘nep’ instructies te verzenden, afhankelijk van het coderingsniveau van de operator. In het slechtste scenario kan een crimineel de BMW-communicatie vervangen door eigen instructies en services.

De studie kijkt ook naar online connectiviteit en de toonaangevende apps in de Spaanse auto-industrie, en verkent daarnaast bedrijfsmodellen en toekomstige trends in beschikbare connectiviteitsplatforms. Het onderzoek werd uitgevoerd door IAB Spanje, samen met Applicantes, Motor.com en Kaspersky Lab.

Share this post