'Privacy en veiligheid slecht gewaarborgd bij draadloze autosystemen'

Een Amerikaans senator stelt dat auto's die draadloze technologie gebruiken flinke gaten in de beveiliging hebben, waardoor deze kwetsbaar zijn voor misbruik. Ook de privacy van de autobezitter zou in het geding zijn.

Senator Edward Markey vroeg bij een groot aantal autofabrikanten hoe zij draadloze technologie in hun voertuigen beveiligen tegen hackers. Ook wilde de senator van hen weten hoe de data die boordcomputers verzamelen is beveiligd. De politicus besloot de vragen te stellen nadat onderzoekers een methode hadden getoond waarmee een hacker een aantal voertuigen draadloos kon aanvallen. De auto's konden zo onder andere onverwacht accelereren, terwijl ook de verlichting en de claxon geactiveerd of uitgeschakeld konden worden.

Markey zou in totaal van zestien autofabrikanten antwoord hebben gekregen op zijn vragen, schrijft persbureau AP. Op basis van de antwoorden concludeert de senator dat autofabrikanten onvoldoende maatregelen nemen om auto's adequaat te beveiligen tegen hackers. Tegelijkertijd zorgt het verzamelen van gebruikersdata, waarvoor autofabrikanten veelal derde partijen inschakelen, voor privacyproblemen.

De senator stelt verder dat vrijwel geen van de ondervraagde autofabrikanten antwoord had op vragen over eerdere hackincidenten. Ook het feit dat vrijwel elke autofabrikant eigen technologie op de markt brengt zou de beveiliging niet ten goede komen. Verder verzamelen een groot aantal van hen persoonlijke gegevens die draadloos worden verstuurd. Daarbij noemen de autofabrikanten veelal als reden 'het verbeteren van de belevenis van de klant', terwijl de meeste chauffeurs niets weten over deze datainzameling en dus ook geen toestemming hebben gegeven.

IT-banen

Reacties (46)

drogeworst 9 februari 2015 11:48

Vrijwel alle nieuwe techniek die is gelanceerd de afgelopen jaren hebben vrijwel allemaal een privacy-risico, indien aangesloten op het internet.

Er is simpelweg geen afdoende beveiliging op het internet. Simpeler kan ik het niet maken.

Als consument dien je op je hoede te zijn en moet je jezelf altijd de vraag stellen of het nodig is. In dit geval zou je ook kunnen zeggen dat het gewoon niet nodig is. Net zo min als een "Nest". Is ook niet nodig. En dat zijn nog maar 2 voorbeelden waar je je privacy 100% inruilt voor beperkte aanvullingen in je dagelijkse leven.

Wees kritisch. En blijf dat. Je hebt jezelf om te beschermen. En dat is al waardevol genoeg.

LOTG @drogeworst • 9 februari 2015 12:12

Het vervelende van dit is nou juist weer dat autofabrikanten helemaal niets aan beveiliging doen. Zelfs met de inbraakpreventie is het extreem slecht gesteld.

Dan komt er nog eens bij dat blijkbaar alles via de CAN-bus moet lopen. Ook bluetooth enzo kan gewoon erbij. Want ja, de autoradio moet alle informatie kunnen weergeven, dat deze dan ook wagenwijd open staat is blijkbaar geen probleem.

Sowieso zijn al die incar systemen vaak nog slechter dan een mobieltje van 100 euro, maar vragen ze er kapitalen voor.

Verwijderd @LOTG • 9 februari 2015 12:37

Het vervelende van dit is nou juist weer dat autofabrikanten helemaal niets aan beveiliging doen. Zelfs met de inbraakpreventie is het extreem slecht gesteld.

Waar is dit op gebaseerd?
Volgens mij klopt hier niets van.

Dan komt er nog eens bij dat blijkbaar alles via de CAN-bus moet lopen. Ook bluetooth enzo kan gewoon erbij. Want ja, de autoradio moet alle informatie kunnen weergeven, dat deze dan ook wagenwijd open staat is blijkbaar geen probleem.

Dat klopt helemaal niet. Bluetooth ed kan helemaal niet direct bij de CAN bus.

Sowieso zijn al die incar systemen vaak nog slechter dan een mobieltje van 100 euro, maar vragen ze er kapitalen voor.

Ten eerste geloof ik hier niets van.
Ten tweede maakt het niet zoveel uit omdat ze niet direct bij het hart van de auto kunnen komen.

LOTG @Verwijderd • 9 februari 2015 13:13

Hoe steel ik een auto
BMW AG kwetsbaar

In een auto loopt vrijwel alles via de CAN bus, waar denk je dat je radio al die getalletjes vandaan haalt om jou te laten zien? Actie radius, gemiddelde snelheid en dergelijke? Juist, van de CAN bus. En je bluetooth module zit ook op die radio, dus als die niet veilig is kun je de bluetooth module gebruiken als je toegang tot de radio weet te verschaffen (door bijvoorbeeld een kwetsbaarheid in de bluetooth stack).
Ik meen daar een paar jaar geleden ook iets over gelezen te hebben op Tweakers.

Hoe meer features op de radio zitten (wifi, bluetooth, 3G) hoe erger het probleem word.

Het zijn niet alleen de budget modelletjes die slecht beveiligd zijn, het is gewoon de hele linie. Ook niet raar want het is goedkoper om maar 1 systeem te hebben dan 4 of 5.

Verwijderd @LOTG • 9 februari 2015 13:31

Hoe steel ik een auto
BMW AG kwetsbaar

In een auto loopt vrijwel alles via de CAN bus, waar denk je dat je radio al die getalletjes vandaan haalt om jou te laten zien? Actie radius, gemiddelde snelheid en dergelijke? Juist, van de CAN bus. En je bluetooth module zit ook op die radio, dus als die niet veilig is kun je de bluetooth module gebruiken als je toegang tot de radio weet te verschaffen (door bijvoorbeeld een kwetsbaarheid in de bluetooth stack).
Ik meen daar een paar jaar geleden ook iets over gelezen te hebben op Tweakers.

Hoe meer features op de radio zitten (wifi, bluetooth, 3G) hoe erger het probleem word.

Het zijn niet alleen de budget modelletjes die slecht beveiligd zijn, het is gewoon de hele linie. Ook niet raar want het is goedkoper om maar 1 systeem te hebben dan 4 of 5.

Zoals ik al eerder zei, de Radio heeft GEEN directe toegang tot de CAN bus. Dit wordt via een andere Controller die de communicatie tussen de CAN en de "entertainmentbus" afhandelt gedaan.
Het zou een blunder zij om zo'n device toegang tot de kern activiteit van de auto te geven.

The Zep Man

Netwerk en systeembeheer
Verenigde staten

@Verwijderd • 9 februari 2015 14:16

Zoals ik al eerder zei, de Radio heeft GEEN directe toegang tot de CAN bus. Dit wordt via een andere Controller die de communicatie tussen de CAN en de "entertainmentbus" afhandelt gedaan.
Het zou een blunder zij om zo'n device toegang tot de kern activiteit van de auto te geven.

Ik heb eens een auto deels aan reverse engineering onderworpen (andere deel was bestaande documentatie). Alle berichten lopen gewoon via de CAN bus. De radio zit er direct op aangesloten.

Natuurlijk was dat maar één model uit één serie van één merk. Toch kan ik mij voorstellen dat voor kostenbesparing bij veel auto's alles op de CAN-bus wordt gezet. Er wordt bespaard doordat de fabrikant met het toevoegen van slechts twee draadjes en een paar weerstanden een netwerk kan maken, waarbij er geen extra controllers nodig zijn anders als ondersteuning voor CAN op de aan te sluiten apparaten.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 10:37]

mashell @LOTG • 9 februari 2015 22:10

In een auto loopt vrijwel alles via de CAN bus, waar denk je dat je radio al die getalletjes vandaan haalt om jou te laten zien? Actie radius, gemiddelde snelheid en dergelijke? Juist, van de CAN bus.

Niet de CAN bus maar een CAN bus. Een moderne auto heeft namelijk meerdere CAN bussen. Sommige informatie van de aandrijving CAN wordt inderdaad gekopieerd naar de infotaiment CAN zodat deze kan worden afgebeeld. Het component dat die informatie kopieert (gateway) doet dat echter maar in 1 richting. Van de infotainment CAN worden er data (actuele radiozender, metadata van telefoongesprekken) naar het cluster instrument gestuurd. Dat wil echter niet zeggen dat je via Bluetooth de boel zo kunt hacken dat je de motor kunt starten. Dat kan gewoon niet, daartoe bieden zowel Bluetooth en de infrastructuur in de auto geen mogelijkheid. Niet omdat de auto zo beveiligd is, maar omdat deze zo simpel is. Er is geen free-format informatie die naar een willekeurig te kiezen adres te sturen is en daar als een commando verwerkt wordt. Daarom durf ik deze stelling wel aan: mijn auto is beter beveiligd als mijn thuis PC.

2TheMaks @Verwijderd • 10 februari 2015 01:28

Ten tweede maakt het niet zoveel uit omdat ze niet direct bij het hart van de auto kunnen komen.

Niet op elektronische wijze, nee.

Maar welke autofabrikant heeft de (fysieke) toegang tot rem- en brandstofleidingen beveiligd? Of kun je gewoon bij deze kritische systemen komen door simpelweg even onder de auto of in de wielkasten te voelen?

Kun je dan ook gewoon deze kritische systemen saboteren door een gaatje in de fysiek toegankelijke leiding te maken.

Ook de (fysieke) toegang tot de wielmoeren is niet beveiligd, op 1 slot-bout na misschien.

Kun je dan ook gewoon dit kritische systeem saboteren door drie of vier wielmoeren (gedeeltelijk) lost te draaien, zodat er straks op de snelweg bij 140km/h een wiel af vliegt?

[Reactie gewijzigd door 2TheMaks op 27 juli 2024 10:37]

Verwijderd @2TheMaks • 10 februari 2015 09:36

[...]

Niet op elektronische wijze, nee.

Maar welke autofabrikant heeft de (fysieke) toegang tot rem- en brandstofleidingen beveiligd? Of kun je gewoon bij deze kritische systemen komen door simpelweg even onder de auto of in de wielkasten te voelen?

Kun je dan ook gewoon deze kritische systemen saboteren door een gaatje in de fysiek toegankelijke leiding te maken.

Ook de (fysieke) toegang tot de wielmoeren is niet beveiligd, op 1 slot-bout na misschien.

Volgens mij is sabotage niet het grootste probleem, diefstal is een groter probleem.

Hoeveel auto's ken je die op zo'n manier gesaboteerd zijn?

Kun je dan ook gewoon dit kritische systeem saboteren door drie of vier wielmoeren (gedeeltelijk) lost te draaien, zodat er straks op de snelweg bij 140km/h een wiel af vliegt?

En dat merk je niet dat de wielbouten los zitten?
Als je dat niet niet merkt moet je rijbewijs direct ingenomen worden.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 10:37]

scsirob @drogeworst • 9 februari 2015 12:22

Alle fabrikanten moeten mee in de 'slimmer, sneller, mooier' rat race. Over tien jaar is er geen auto meer te koop die niet op één of andere manier connected is. Als het niet vanwege comfort is, dan wordt er wel een argument als veiligheid of milieu bijgesleept om connectivity wettelijk te verplichten.

Uiteindelijk ben je als consument niet in staat om jezelf te beschermen.

mashell @scsirob • 9 februari 2015 22:13

Uiteindelijk ben je als consument niet in staat om jezelf te beschermen.

Diezelfde consument heeft al lang een smartphone in zijn linker broekzak. Waarschijnlijk eentje met een besturingssyteem dat gemaakt is door een advertentieverkoper. Je gaat je afvragen of de consument wel weet tegen welk gevaar hij zich eigenlijk zou moeten beschermen.

theduke1989 @drogeworst • 9 februari 2015 12:50

Ik heb het niet zo met al die nieuwe ''features'' in me auto.
Was al blij dat ik een radio had en een inbouw navigatiesysteem vroegaah

Maar nu alles zo onder zulke systemen naah, maar ja is wel de toekomst natuurlijk om zo min mogelijk privacy als consument te hebben...

TheBlackbird @drogeworst • 9 februari 2015 12:01

Helaas is de meerderheid van de mensen niet bepaald kritisch op dat vlak (cf. Facebook waar mensen vrijwillig hun hele leven te grabbel gooien).

Annihilism 9 februari 2015 11:55

Ik zou het sowieso raar vinden als een Android OS (of wat voor OS dan ook) zomaar even toegang heeft tot mijn boordcomputer. Een beetje hacker krijgt dan zo met een OBDII app via bluetooth toegang tot de boordcomputer en kan vervolgens de meest vreemde dingen uithalen met de auto.

In mijn mening moet het motormanagementsysteem altijd compleet losstaan van het entertainment systeem, hooguit een read-only verbinding om brandstofefficiëntie o.i.d. te zien op het display. Technologische vooruitgang is mooi maar ik heb het idee dat er met name door autofabrikanten e.d. veel te licht mee omgesprongen wordt.

Dorank @Annihilism • 9 februari 2015 12:13

read-only verbinding om brandstofefficiëntie o.i.d.

En tot gaspedaal, tank inhoud, kilometer teller zowel snelheid als afgelegde weg (zowel totaal als dag teller sinds laatste keer dat tank is open gegaan), temperatuur (blok/inlaat lucht), drukgegevens, load van de accu om te bepalen of er nog externe apparaten aan hangen en actief zijn (entertainment systeem). enz, enz.

MAW om iets zinnige te tonen heb je vrijwel alle info RO nodig.

Verwijderd @Annihilism • 9 februari 2015 12:47

Een beetje hacker krijgt dan zo met een OBDII app via bluetooth toegang tot de boordcomputer en kan vervolgens de meest vreemde dingen uithalen met de auto.

Dat heb ik nog nooit gezien. ODBII heeft maar zeer beperkte ontvangstmogelijkheden, veel meer dan een reset van een standaard set of parameters komt het niet. Ook ken ik geen auto waarbij je standaard via bluetooth by ODBII kan komen. Er moet daarvoor altijd een bluetooth plug ingestoken word. En daarvoor moet je eerst inbreken in de auto.

Denk dus dat je er wel van gehoord hebt maar er niet het fijne van weet. Natuurlijk altijd goed voor wat plusjes van anderen!

[Reactie gewijzigd door Verwijderd op 27 juli 2024 10:37]

Frustus Maximus 9 februari 2015 11:42

Dat maakt grote bedrijven en de overheid, verder helemaal niets uit. Het is zelfs fijn dat er nog meer informatie over de burgers beschikbaar komt.

TheBlackbird @Frustus Maximus • 9 februari 2015 12:07

Tot een hackersgroep er een hobby van maakt auto's te doen crashen.

-Colossalman- 9 februari 2015 11:45

Straks moeten we onze nieuwe auto eerst rooten/Jailbreaken om zelf alle ongewenste software te verwijderen en add-blockers te kunnen installeren.

drogeworst @-Colossalman- • 9 februari 2015 11:51

Je brengt het ironisch. Maar ik vrees dat je 100% gelijk hebt.

dolbymaster @-Colossalman- • 9 februari 2015 12:03

op die manier maak je wel weer ruimte voor nieuwe ontwikkelingen

Anonymoussaurus @-Colossalman- • 9 februari 2015 12:12

Een advertentieblocker op een auto? Gewone Google ads brengen geen virussen mee (voor zover ik weet

Dennahz 9 februari 2015 12:46

Ìnternet kan handig zijn in de auto, maar is het nou echt nodig? Nope. Heb laatst ook al een artikel gelezen over dat bedrijven geïnteresseerd zijn in data uit de auto's om gericht reclame te kunnen weergeven

. Niemand heeft daar iets mee te maken en niemand heeft behoefte aan reclame in auto's.

Er staat al genoeg rommel langs de weg. Laat de auto nou gewoon een plek van jezelf zijn en blijven. Gewoon je eigen omgeving, zonder bemoeienis van buitenaf.

Verwijderd @Dennahz • 9 februari 2015 13:02

Ìnternet kan handig zijn in de auto, maar is het nou echt nodig? Nope. Heb laatst ook al een artikel gelezen over dat bedrijven geïnteresseerd zijn in data uit de auto's om gericht reclame te kunnen weergeven . Niemand heeft daar iets mee te maken en niemand heeft behoefte aan reclame in auto's.

Er staat al genoeg rommel langs de weg. Laat de auto nou gewoon een plek van jezelf zijn en blijven. Gewoon je eigen omgeving, zonder bemoeienis van buitenaf.

Internet mag van mij gerust in een auto maar het moet IMO gescheiden zijn van alle motor besturing e.d.

Tevens moet de VS zich maar eens drukker maken over "hun" 787 Dreamliner.
Waar de netwerken niet gescheiden zijn.
nieuws: FAA: Boeing 787 Dreamliner gevoelig voor hackers

Verwijderd 9 februari 2015 13:04

"Ook het feit dat vrijwel elke autofabrikant eigen technologie op de markt brengt zou de beveiliging niet ten goede komen. "

Is dat wel zo? Je wilt er toch niet aan dat heel veel autofabrikanten allemaal dezelfde beveiliging inbouwen want dan heb je met één hack toegang tot heel veel merken en kun je op grote schaal auto's infecteren?

God, als ik dit tegen mijn vrienden had gezegd in 1985 dan hadden ze me opgesloten :-)

Versnippering is niet slecht mits de beveiligingsafdeling van de fabrikant imba is en helemaal top. En dan nóg is er zoals altijd met ICT een risico. Maar als er dan een hack is, dan staan alleen alle Opels stil of zo. Of de radio geeft alleen nog Jan Smit door. Of alle auto's bellen ineens Mark Rutte. Of weet ik veel.

Rij zelf geen auto maar heb er ook geen zin meer in. Op de motor heb je tenminste geen ruimte voor te veel ICT. Veilig rijden!

Dorank @Verwijderd • 9 februari 2015 15:39

Ik was aan het kijken naar een electrische motor (bv Zero), die kan je met bluetooth beinvloeden. En een beejte moderne BMW 2wieler heeft ook al meer electronica dan mijn auto.

Ask! 9 februari 2015 11:45

At the same time, nearly all new cars on the market today include at least some wireless entry points to these computers, such as tire pressure monitoring systems, Bluetooth, Internet access, keyless entry, remote start, navigation systems, WiFi, anti-theft systems and cellular-telematics, the report said.

Bron: Bron in tekst

Het betreft dus vrijwel alle draadloze technologieën, dat miste ik in de tekst

Daarnaast:

Most manufacturers said they were unaware of or unable to report on past hacking incidents. Three automakers declined to answer the question. One automaker described an app designed by an outside company and released for Android devices that could access a vehicle's computer network through the Bluetooth connection. A security analysis didn't indicate any ability to introduce malicious code or steal data, but the automaker had the app removed from the Google Play store as a precautionary measure.

Bron: Bron in tekst

Zegt ook wel veel

[Reactie gewijzigd door Ask! op 27 juli 2024 10:37]

fujiwara 9 februari 2015 12:06

De meeste autofabrikanten hebben ook geen ervaring met veiligheid aangaande software. Ze hebben allemaal een geschiedenis in electronica maar in de meeste gevallen hebben ze geen degelijke ervaring met goede software te schrijven.
In de gesloten systemen van vroeger zonder enige verbinding met het internet was dat minder een probleem. Nu alles steeds meer verbonden wordt zullen ze nog tegen veel problemen lopen.
Dus binnenkort heb je constant firmware veiligheidsupdates voor je wagen zoals bij de meeste andere met internet verbonden producten :-)

mashell @fujiwara • 9 februari 2015 22:19

Ze hebben allemaal een geschiedenis in electronica maar in de meeste gevallen hebben ze geen degelijke ervaring met goede software te schrijven.

De autofabrikanten schrijven dan ook geen software. Ze specificeren alleen maar. Het zijn te toeleveranciers die de software schrijven en die zijn daarin wel degelijk ervaren.

Dus binnenkort heb je constant firmware veiligheidsupdates voor je wagen zoals bij de meeste andere met internet verbonden producten

Dat zal zeker zo zijn. Niet omdat auto's zo onveilig zijn. De aandrijving is en blijft het domein van realtime embedded software. Maar het infotainmentsysteem is steeds meer gewoon een grote smartphone ingebouwd in de auto. Want de gebruiker wil "apps" in de auto. En die dan ook gebaseerd op smartphone systemen (Volvo levert al jaren Android systemen) en kent dan ook dezelfde zwaktes. Ik denk daarom dat ze vrij snel de stap naar volwaardige linux systemen zullen gaan maken.

fujiwara @mashell • 10 februari 2015 00:18

Correct dat ze het uitbesteden. Ik weet echter uit ervaring dat die toeleveranciers voornamelijk een electronica achtergrond hebben (ik werk immers in die sector als toeleverancier voor die tier 1 bedrijven). Veel van die software is echt niet goed geschreven. Vaak beginnen ze voor elk nieuw model weer van nul met nieuwe teams. Gelukkig zijn hierin ook wel uitzonderingen maar dat is zeker nog niet de regel.

mashell @fujiwara • 10 februari 2015 13:50

Grappig. Mijn ervaring (10+ jaar embedded automotive software (voor tier-1s)) is een heel andere. Prima software, tegenwoordig veel belangrijker dan hardware en door voortdurende kostenreducties veel re-use van wat bekend is. Ook standaardisatie (zoals Autosar) neemt een grote vlucht.

fujiwara @mashell • 10 februari 2015 15:36

Dat is wel vreemd dat we tegengestelde ervaring hebben :-).
Kan zijn dat ik het te fel veralgemeen en het vooral voorkomt bij de component van TTS/spraakherkenning waarop ik werk. Ik zie immers de andere delen niet zo veel.
Daar zien we regelmatig teams van nul opnieuw beginnen zonder enige ervaring en maken ze steeds dezelfde fouten.

MZONDERL 9 februari 2015 12:07

In de jaren 80 was er al een mooi voorbeeld van wanneer Auto hardware/software een probleem vormt:

In Knight Rider is de AI van KITT meerdere keren al overgenomen, zie voorbeeld in onderstaand filmpje:
https://www.youtube.com/watch?v=sK80O2BiTGA

pizzafried @MZONDERL • 9 februari 2015 12:46

en in de 2008 serie is dat nog eens een paar keer dunnetjes overgedaan, ondanks 3 firewalls was de auto bijna in verkeerde handen gevallen...

Anonymoussaurus 9 februari 2015 12:08

Dat is al jaren zo. Een paar jaar geleden zag ik op tv, een programma dat ze bij een hackersbeurs waren. Een paar jaar geleden was het niet veilig, en nu nog steeds niet..

Zonder OS kan je ook een auto het ravijn in laten rijden.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: