Er zijn meerdere bugs gevonden die miljoenen voertuigen van 16 verschillende fabrikanten kunnen aantasten, waaronder het ontgrendelen, starten en volgen van auto’s en de privacy van autobezitters in gevaar brengen. De beveiligingslekken werden ontdekt in de automatische APIs van Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota, evenals in software van Reviver, SiriusXM en Spireon. De fouten variëren van toegang tot interne bedrijfssystemen en gebruikersinformatie tot zwaktes die een aanvaller in staat stellen om op afstand opdrachten te versturen voor code-uitvoering. Het onderzoek bouwt voort op eerdere bevindingen van eind vorig jaar, toen Yuga Labs-onderzoeker Sam Curry et al beveiligingslekken beschreven in een verbonden voertuigenservice van SiriusXM die potentieel auto’s kwetsbaar maakten voor aanvallen op afstand. De ernstigste problemen, die betrekking hebben op de telematicasolutions van Spireon, hadden kunnen worden misbruikt om volledige administratieve toegang te krijgen, waardoor een tegenstander ongeldige opdrachten kon uitvoeren op ongeveer 15,5 miljoen voertuigen en de firmware van het apparaat kon bijwerken.
Dit zou ons in staat hebben gesteld om de starters van politie-, ambulance- en politievoertuigen te volgen en uit te schakelen voor een aantal grote steden en opdrachten naar die voertuigen te versturen,” zeggen de onderzoekers.
Vulnerabiliteiten die zijn geïdentificeerd in Mercedes-Benz, zouden toegang kunnen geven tot interne toepassingen via een onjuist geconfigureerd enkelvoudig aanmeldingsschema (SSO) terwijl andere het mogelijk maken om gebruikersaccounts over te nemen en gevoelige informatie te onthullen.
Andere lekken maken het mogelijk om klantgegevens te raadplegen of te wijzigen, interne dealerportals te openen, de GPS-locatie van voertuigen in realtime te volgen, de kentekengegevens te beheren voor alle Reviver-klanten en zelfs de status van het voertuig te wijzigen in “gestolen”.
Hoewel alle beveiligingslekken sindsdien zijn opgelost door de respectievelijke fabrikanten na verantwoorde openbaarmaking, benadrukken de bevindingen de noodzaak van een verdedigingsstrategie die bedreigingen bevat en risico’s beperkt.
“Als een aanvaller in staat was om kwetsbaarheden te vinden in de API-eindpunten die door voertuigtelematicsystemen worden gebruikt, zou hij de claxon kunnen laten loeien, de lichten kunnen knipperen, voertuigen op afstand kunnen volgen, vergrendelen/ontgrendelen en starten/stoppen, volledig op afstand,” merken de onderzoekers op.
“De onderlinge verbondenheid van onze apparaten maakt het beveiligen van auto’s uitdagender – zoals blijkt uit cyberaanvallen op auto’s die in de afgelopen drie jaar met 225% zijn toegenomen, waarvan 84,5% op afstand worden uitgevoerd,” zei Sandeep Singh, senior manager technische diensten bij HackerOne, in een verklaring, waarin hij de toename van automobiele hacks en de noodzaak van samenwerking met de ethische hackinggemeenschap verklaart.
“Naarmate de technologie van auto’s geavanceerder wordt, worden ook hun intelligente software-systemen complexer,” voegde Singh toe. “Het identificeren van de softwareleveringsketenvulnerabiliteiten die zijn veroorzaakt door ‘slimme’ functies vereist diepgaande kennis van software- en hardware-systemen en een begrip van de aangepaste protocollen die specifiek zijn voor verbonden voertuigen en automatische systemen.” De onderzoekers benadrukken dat deze bevindingen aantonen dat er meer aandacht nodig is voor de beveiliging van auto’s, vooral met de groeiende trend van connectiviteit en digitale technologie in de automobielindustrie. Dit betekent dat fabrikanten hun software- en hardware-systemen beter moeten beveiligen en hun samenwerking met de ethische hackinggemeenschap moeten versterken om potentiële beveiligingsrisico’s sneller op te sporen en op te lossen.
