Nieuws

We hackten een Ford Focus en Volkswagen Polo

09 april 2020

We lieten een team van ethische hackers los op een Ford Focus en Volkswagen Polo. Zij vonden verschillende kwetsbaarheden die ernstige gevolgen kunnen hebben voor je privacy en veiligheid.

Auto’s lijken steeds meer op computers. En wie computer zegt, zegt kwetsbaar voor hackers. In de zomer van 2019 kochten we een Ford Focus en Volkswagen Polo en stuurden die voor een uitvoerige veiligheidstest naar een cybersecuritybedrijf uit Londen. Vijf andere Europese consumentenorganisaties namen deel aan de test.

Bij beide auto’s stelden we veiligheidsproblemen vast die een grote impact kunnen hebben, indien hackers ze zouden misbruiken.

Een team van 7 ethische hackers van Context Information Security dook onder meer in de mobiele apps, het infotainment-systeem, de autosleutels en het interne CAN bus-systeem.

Zo geraken hackers binnen

De meest kritische kwetsbaarheid vonden we bij de infotainment-unit van de Volkswagen Polo. Die staat onder andere in verbinding met de tractiecontrole en het risico bestaat dat hackers het veiligheidslek kunnen misbruiken om met de tractiecontrole te knoeien.

Andere problemen hadden te maken met de autosleutels, een oud zeer waarvan je zou verwachten dat de auto-industrie het ondertussen heeft opgelost. Bij de Volkswagen Polo zouden criminelen nog steeds makkelijk toegang tot de auto kunnen krijgen. De Ford-sleutel maakt gebruik van iets veiligere technologie, maar we ontdekten toch een kwetsbaarheid die een hacker in staat stelt om het signaal dat de motor start te blokkeren.

Bij de Volkswagen Polo was het mogelijk om het ontgrendelingssignaal van de autosleutel te onderscheppen en deze later te gebruiken om de auto te ontgrendelen.

Kwetsbaarheden vonden we ook op het niveau van de sensoren. Bij de Ford Focus slaagden we erin om de boodschappen tussen de bandendruksensoren en het dashboard te onderscheppen. Het risico bestaat dat hackers foutieve boodschappen kunnen laten sturen, zoals de melding dat de bandendruk normaal is, terwijl de banden eigenlijk leeg zijn.

Met behulp van eenvoudige apparatuur konden we bij de Ford Focus de boodschappen tussen de banden en het dashboard onderscheppen.

Bij beide auto’s ontdekten we ook slordigheden in de programmatie. Dat lijkt misschien onbelangrijk, maar het kan hackers helpen om een aanval op te zetten.

Aan de haal met je privacy?

En het gaat niet enkel om veiligheid. Aangezien moderne auto’s heel wat gegevens genereren, is ook privacy een aandachtspunt: wat gebeurt er met die gegevens en waarvoor worden ze gebruikt?

Als je de Ford Focus-app downloadt, ga je er bijvoorbeeld mee akkoord dat Ford de locatie van je wagen en je bestemmingen bijhoudt. Of “rijeigenschappen” zoals snelheid, gebruik van het gaspedaal, remmen, sturen, veiligheidsgordels enzovoort. Ford kan die informatie bovendien delen met derde partijen.

Ook al is die datacollectie niet meteen onwettig, het is belangrijk te beseffen dat de omvang ervan heel erg groot kan zijn en dat jouw data heel waardevol zijn voor autofabrikanten.

Verkoop je auto, niet je gegevens

Houd er ook rekening mee dat er in je auto zelf heel wat gegevens worden opgeslagen. Om te voorkomen dat een toekomstige koper zomaar toegang krijgt tot je persoonlijke gegevens moet je een soort van “master-reset” doen. In deze video van onze Engelse collega’s van Which? zie je hoe je te werk moet gaan.

Betere regelgeving nodig

Koop je vandaag een auto, dan weet je niet of die voldoende beveiligd is tegen cyberaanvallen. Veiligheid wordt nog altijd onvoldoende meegenomen in het design. Fabrikanten zijn nog niet verplicht om aan de bestaande standaarden te voldoen.

Verschillende instanties werken momenteel aan een nieuwe regelgeving om te zorgen dat alle nieuwe auto’s beter beschermd worden, al is niet duidelijk wanneer die in werking zal treden en of ze vertaald zal worden in verplichte cyberveiligheidsmaatregelen.

Ook op het vlak van privacy zijn er duidelijkere richtlijnen nodig. Geconnecteerde auto’s verzamelen een enorme hoeveelheid waardevolle data. Het is de consument die in de bestuurdersstoel zit: hij moet zijn data kunnen overdragen en bepalen wie toegang mag hebben.

Maak een geïnformeerde keuze

Toe aan een nieuwe auto? Wij helpen je een keuze te maken. Raadpleeg onze koopwijzer auto's en ontdek de testresultaten van meer dan 200 modellen.

Vergelijk auto's

Community

Mobiliteit

community

Gerelateerde discussies