Test Aankoop waarschuwt voor veiligheidslekken bij auto’s

Ford Focus en Volkswagen Polo

De auto’s die vandaag worden verkocht, lijken steeds meer op computers. Gezien deze evolutie kocht Test Aankoop samen met vijf andere Europese consumentenorganisaties vorig jaar twee wagens :  een Ford Focus en een  Volkswagen Polo om hen vervolgens uitvoerig te laten testen door een Londens cybersecuritybedrijf. Een team van zeven ‘ethische hackers’ dook onder meer in de mobiele apps, het infotain­ment-systeem, de autosleutels en het interne CAN bus-systeem. Bij beide auto’s stelden we veiligheidsproblemen vast die een grote impact kunnen hebben, indien deze door hackers misbruikt zouden worden.

Kwetsbaarheden

De meest kritische kwetsbaarheid werd vastgesteld bij het infotainment-unit van de Volkswagen Polo. Die staat o.a. in verbinding met de tractiecontrole en het risico bestaat dat hackers het veiligheidslek zouden kunnen misbruiken om met de tractiecontrole te knoeien. Andere problemen hadden te maken met de autosleutels : bij de Volkswagen Polo zouden criminelen nog steeds makkelijk toegang tot de auto kunnen krijgen door de ontgrendelingscode tussen de sleutel en de auto te onderscheppen. De Ford-sleutel maakt dan weer gebruik van iets veiligere technologie, maar daar zou een hacker dan weer het signaal dat de motor start kunnen blokkeren.

Bij beide auto’s merkten de hackers in dienst van Test Aankoop ook slordigheden in de programmatie op. Niet onbelangrijk want het kan hackers helpen om een aanval op te zetten.

Privacy

Moderne auto’s verzamelen heel wat data, privacy is dan ook een aandachtspunt. Wanneer de onderzoekers de Ford Focus-app downloadden, stelden ze vast dat niet alleen de locatie van de wagen of de reisbestemmingen worden bijgehouden maar ook rijeigenschappen zoals snelheid, gebruik van het gaspedaal, remmen, sturen, veiligheidsgordels, enzovoort. Ford kan die informatie bovendien delen met derde partijen. De ‘We Connect – app’ van Volkswagen, vraagt dan weer om heel wat machtigingen waaronder de toestemming om vertrouwelijke informatie in de agenda van de bestuurder te lezen of om toegang te krijgen tot de USB-opslag. Deze datacollectie is niet meteen onwettig, Test Aankoop benadrukt wel dat het belangrijk is te beseffen dat de omvang ervan heel erg groot kan zijn. De gegevens van de klant en info over zijn rijgedrag zijn bovendien waardevol voor autofabrikanten. Het moet duidelijk zijn dat deze waardevolle gegevens aan de consument toebehoren. De consument is diegene die moet beslissen over het gebruik van de gegevens die door zijn of haar aangesloten auto worden gegenereerd. Test Aankoop herhaalt dat dat consumenten een eerlijk deel van de waarde moeten krijgen wanneer bedrijven de persoonlijke gegevens van mensen gebruiken.

Nood aan betere regels

“Wanneer een auto vandaag ontworpen wordt, dan wordt deze ontworpen aan een crash test om de fysieke veiligheid van de bestuurder te garanderen, maar bij de cyberveiligheid wordt veel minder stilgestaan”, zegt Simon November, woordvoerder van Test Aankoop. “Er zijn reeds veiligheidsstandaarden, maar autofabrikanten zijn nog niet verplicht om daaraan te voldoen. Je moet er als koper maar op vertrouwen dat de fabrikant de nodige inspanningen heeft gedaan om het risico op veiligheidsproblemen zo laag mogelijk te houden”, vult hij aan.  Verschillende instanties, zoals de UNECE (Europese Economische Commissie van de Verenigde Naties), werken op dit moment aan een nieuwe regelgeving die ervoor moet zorgen dat alle nieuwe auto’s beter beschermd zijn tegen cyberaanvallen, al is niet duidelijk wanneer die in werking zal treden. Het is ook nog maar de vraag of en wanneer die regelgeving vertaald zal worden in verplichte cyberveiligheidsmaatregelen. Nu wagens meer dan ooit met geconnecteerd zijn met het internet, dringt Test Aankoop aan op strikte regels.