Hacks op auto's: de gevaren en uitdagingen voor de industrie

Als je computer wordt gehackt ben je ‘hooguit’ je bestanden kwijt, maar wat nou als je auto een computer is en die aangevallen wordt terwijl je met 130 kilometer per uur over een snelweg rijdt? Het hacken van auto’s is een groeiend risico waar steeds grotere gevaren aan zitten.

Lees ook: Wie is er verantwoordelijk voor het rijgedrag van de zelfrijdende auto? 

In 2015 brachten twee onderzoekers een nieuwe vorm van hacken aan het licht. Samen met een journalist van Wired toonden Charlie Miller en Chris Valasek hoe het mogelijk was een Jeep Chrysler over te nemen terwijl die op de weg reed, met niet minder dan 110 kilometer per uur. De onderzoekers konden niet alleen het dashboard bedienen en de radio aanzetten, maar ook de ruitenwissers en richtingaanwijzers bedienen.

Maar, ernstiger nog, Miller en Valasek konden ook de auto zelf bedienen. De remmen, versnelling en het stuur waren allemaal over te nemen, zonder dat de bestuurder daar iets tegen kon doen.

Ook opvallend: de onderzoekers hadden geen fysieke toegang tot het voertuig nodig. Bij veel hacks is het systeem alleen over te nemen wanneer je bijvoorbeeld handmatig een usb-stick in een poort plugt of een man-in-the-middle-aanval opzet waarbij je zelf als hotspot fungeert, maar de hackers konden in dit geval vanaf de andere kant van het land met de auto aan de gang via internet.

Auto's met firmware

Het is een groot risico van moderne auto’s, omdat die steeds vaker op het internet zijn aangesloten. Dat was vijf jaar geleden vooral nog nodig om interactieve verkeersinformatie door te geven (zodat je in je navigatiesysteem kunt zien waar de files staan), maar steeds vaker worden er ook software-updates naar voertuigen gestuurd.

Net als andere computers en IoT-apparaten draaien ook auto’s op eigen firmware, en iedere firmware is in potentie kwetsbaar voor hackers. Miller en Valasek maakten dan ook gebruik van een zero-day in het ‘besturingssysteem’ van de Jeep, een lek waarvan de makers nog niet op de hoogte waren.

© PXimport

Er is al een flink aantal auto’s kwetsbaar voor hack-aanvallen. Deze andere modellen zijn op één of andere manier ooit gekraakt door beveiligingsonderzoekers, al dan niet op afstand: Ford Galaxy, Audi A3, Toyota Rav4, Volkgswagen Golf GTD, Nissan Leaf, BMW 730d en de Mitsubishi Outlander PHEV.

Ransomware voor auto's?

De hack op de Jeep was notoir. Miller en Valasek toonden de kwetsbaarheid op de hackersconferentie Black Hat, nadat zij die bekend hadden gemaakt bij Fiat-Chrysler. Het was de eerste keer dat een grootschalige hack op een populaire auto werd getoond, en ook de eerste keer dat een hack niet alleen theoretisch mogelijk was. Sindsdien zijn er steeds meer beveiligingsonderzoekers die waarschuwen voor de gevaren van ‘slimme’ auto’s – al zijn er tot nu toe nog geen voorbeelden van hacks die ‘in het wild’ plaatsvinden.

Wel zijn er inmiddels al veel andere hackers die met theoretische onderzoeken hebben aangetoond dat het mogelijk is om auto’s op een andere manier onklaar te maken. Zo wist onderzoeker Flavio Garcia een Volkswagen van ransomware te voorzien, al had hij daar wel fysieke toegang tot de auto voor nodig. Garcia kon met een simpele usb-stick al gijzelsoftware op een voertuig zetten om de auto zo onklaar te maken. Dat betekent dat de bestuurder de auto pas weer kan gebruiken nadat hij losgeld zou betalen...

Bevoegdheden politie

Er is een ander aspect van het hacken van auto’s dat mogelijk voor problemen gaat leiden. De politie heeft namelijk al aangegeven daar wel erg veel interesse in te hebben. Op dit moment ligt er een wetsvoorstel bij de Tweede Kamer om de Wet Computercriminaliteit III aan te passen, zodat daarin onder andere kan worden opgenomen dat de politie auto’s mag hacken. Auto’s worden in die wet niet specifiek genoemd, maar het gaat daarbij over ‘computers’ en volgens juristen vallen auto’s daar wel onder. 

© PXimport

Dat betekent dat agenten straks tijdens het rijden mogelijk de controle kunnen overnemen over een auto die op de vlucht is, om die zo aan de kant te zetten. Daar is nog niet iedereen blij mee, want er zitten nog veel haken en ogen aan zulke wetgeving. Als de politie namelijk auto’s moet kunnen hacken, welke kwetsbaarheden gebruiken zij daar dan voor? En als de politie van een kwetsbaarheid weet, wie zegt dan dat andere hackers daar ook niet achter komen?

Voorlopig lijkt het hacken van auto’s gelukkig nog ver weg, en steeds meer fabrikanten nemen grote teams van softwarebouwers aan die beter weten hoe ze met beveiliging om moeten gaan dan de gemiddelde gebruiker. Dat is een goed begin.

Deel dit artikel
Voeg toe aan favorieten