Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Een Amerikaans senator stelt dat auto's die draadloze technologie gebruiken flinke gaten in de beveiliging hebben, waardoor deze kwetsbaar zijn voor misbruik. Ook de privacy van de autobezitter zou in het geding zijn.

Senator Edward Markey vroeg bij een groot aantal autofabrikanten hoe zij draadloze technologie in hun voertuigen beveiligen tegen hackers. Ook wilde de senator van hen weten hoe de data die boordcomputers verzamelen is beveiligd. De politicus besloot de vragen te stellen nadat onderzoekers een methode hadden getoond waarmee een hacker een aantal voertuigen draadloos kon aanvallen. De auto's konden zo onder andere onverwacht accelereren, terwijl ook de verlichting en de claxon geactiveerd of uitgeschakeld konden worden.

Markey zou in totaal van zestien autofabrikanten antwoord hebben gekregen op zijn vragen, schrijft persbureau AP. Op basis van de antwoorden concludeert de senator dat autofabrikanten onvoldoende maatregelen nemen om auto's adequaat te beveiligen tegen hackers. Tegelijkertijd zorgt het verzamelen van gebruikersdata, waarvoor autofabrikanten veelal derde partijen inschakelen, voor privacyproblemen.

De senator stelt verder dat vrijwel geen van de ondervraagde autofabrikanten antwoord had op vragen over eerdere hackincidenten. Ook het feit dat vrijwel elke autofabrikant eigen technologie op de markt brengt zou de beveiliging niet ten goede komen. Verder verzamelen een groot aantal van hen persoonlijke gegevens die draadloos worden verstuurd. Daarbij noemen de autofabrikanten veelal als reden 'het verbeteren van de belevenis van de klant', terwijl de meeste chauffeurs niets weten over deze datainzameling en dus ook geen toestemming hebben gegeven.

Moderatie-faq Wijzig weergave

Reacties (46)

Vrijwel alle nieuwe techniek die is gelanceerd de afgelopen jaren hebben vrijwel allemaal een privacy-risico, indien aangesloten op het internet.

Er is simpelweg geen afdoende beveiliging op het internet. Simpeler kan ik het niet maken.

Als consument dien je op je hoede te zijn en moet je jezelf altijd de vraag stellen of het nodig is. In dit geval zou je ook kunnen zeggen dat het gewoon niet nodig is. Net zo min als een "Nest". Is ook niet nodig. En dat zijn nog maar 2 voorbeelden waar je je privacy 100% inruilt voor beperkte aanvullingen in je dagelijkse leven.

Wees kritisch. En blijf dat. Je hebt jezelf om te beschermen. En dat is al waardevol genoeg.
Het vervelende van dit is nou juist weer dat autofabrikanten helemaal niets aan beveiliging doen. Zelfs met de inbraakpreventie is het extreem slecht gesteld.

Dan komt er nog eens bij dat blijkbaar alles via de CAN-bus moet lopen. Ook bluetooth enzo kan gewoon erbij. Want ja, de autoradio moet alle informatie kunnen weergeven, dat deze dan ook wagenwijd open staat is blijkbaar geen probleem.

Sowieso zijn al die incar systemen vaak nog slechter dan een mobieltje van 100 euro, maar vragen ze er kapitalen voor.
Het vervelende van dit is nou juist weer dat autofabrikanten helemaal niets aan beveiliging doen. Zelfs met de inbraakpreventie is het extreem slecht gesteld.
Waar is dit op gebaseerd?
Volgens mij klopt hier niets van.
Dan komt er nog eens bij dat blijkbaar alles via de CAN-bus moet lopen. Ook bluetooth enzo kan gewoon erbij. Want ja, de autoradio moet alle informatie kunnen weergeven, dat deze dan ook wagenwijd open staat is blijkbaar geen probleem.
Dat klopt helemaal niet. Bluetooth ed kan helemaal niet direct bij de CAN bus.
Sowieso zijn al die incar systemen vaak nog slechter dan een mobieltje van 100 euro, maar vragen ze er kapitalen voor.
Ten eerste geloof ik hier niets van.
Ten tweede maakt het niet zoveel uit omdat ze niet direct bij het hart van de auto kunnen komen.
Hoe steel ik een auto
BMW AG kwetsbaar

In een auto loopt vrijwel alles via de CAN bus, waar denk je dat je radio al die getalletjes vandaan haalt om jou te laten zien? Actie radius, gemiddelde snelheid en dergelijke? Juist, van de CAN bus. En je bluetooth module zit ook op die radio, dus als die niet veilig is kun je de bluetooth module gebruiken als je toegang tot de radio weet te verschaffen (door bijvoorbeeld een kwetsbaarheid in de bluetooth stack).
Ik meen daar een paar jaar geleden ook iets over gelezen te hebben op Tweakers.

Hoe meer features op de radio zitten (wifi, bluetooth, 3G) hoe erger het probleem word.

Het zijn niet alleen de budget modelletjes die slecht beveiligd zijn, het is gewoon de hele linie. Ook niet raar want het is goedkoper om maar 1 systeem te hebben dan 4 of 5.
Hoe steel ik een auto
BMW AG kwetsbaar

In een auto loopt vrijwel alles via de CAN bus, waar denk je dat je radio al die getalletjes vandaan haalt om jou te laten zien? Actie radius, gemiddelde snelheid en dergelijke? Juist, van de CAN bus. En je bluetooth module zit ook op die radio, dus als die niet veilig is kun je de bluetooth module gebruiken als je toegang tot de radio weet te verschaffen (door bijvoorbeeld een kwetsbaarheid in de bluetooth stack).
Ik meen daar een paar jaar geleden ook iets over gelezen te hebben op Tweakers.

Hoe meer features op de radio zitten (wifi, bluetooth, 3G) hoe erger het probleem word.

Het zijn niet alleen de budget modelletjes die slecht beveiligd zijn, het is gewoon de hele linie. Ook niet raar want het is goedkoper om maar 1 systeem te hebben dan 4 of 5.
Zoals ik al eerder zei, de Radio heeft GEEN directe toegang tot de CAN bus. Dit wordt via een andere Controller die de communicatie tussen de CAN en de "entertainmentbus" afhandelt gedaan.
Het zou een blunder zij om zo'n device toegang tot de kern activiteit van de auto te geven.
Zoals ik al eerder zei, de Radio heeft GEEN directe toegang tot de CAN bus. Dit wordt via een andere Controller die de communicatie tussen de CAN en de "entertainmentbus" afhandelt gedaan.
Het zou een blunder zij om zo'n device toegang tot de kern activiteit van de auto te geven.
Ik heb eens een auto deels aan reverse engineering onderworpen (andere deel was bestaande documentatie). Alle berichten lopen gewoon via de CAN bus. De radio zit er direct op aangesloten.

Natuurlijk was dat maar één model uit één serie van één merk. Toch kan ik mij voorstellen dat voor kostenbesparing bij veel auto's alles op de CAN-bus wordt gezet. Er wordt bespaard doordat de fabrikant met het toevoegen van slechts twee draadjes en een paar weerstanden een netwerk kan maken, waarbij er geen extra controllers nodig zijn anders als ondersteuning voor CAN op de aan te sluiten apparaten.

[Reactie gewijzigd door The Zep Man op 9 februari 2015 14:17]

In een auto loopt vrijwel alles via de CAN bus, waar denk je dat je radio al die getalletjes vandaan haalt om jou te laten zien? Actie radius, gemiddelde snelheid en dergelijke? Juist, van de CAN bus.
Niet de CAN bus maar een CAN bus. Een moderne auto heeft namelijk meerdere CAN bussen. Sommige informatie van de aandrijving CAN wordt inderdaad gekopieerd naar de infotaiment CAN zodat deze kan worden afgebeeld. Het component dat die informatie kopieert (gateway) doet dat echter maar in 1 richting. Van de infotainment CAN worden er data (actuele radiozender, metadata van telefoongesprekken) naar het cluster instrument gestuurd. Dat wil echter niet zeggen dat je via Bluetooth de boel zo kunt hacken dat je de motor kunt starten. Dat kan gewoon niet, daartoe bieden zowel Bluetooth en de infrastructuur in de auto geen mogelijkheid. Niet omdat de auto zo beveiligd is, maar omdat deze zo simpel is. Er is geen free-format informatie die naar een willekeurig te kiezen adres te sturen is en daar als een commando verwerkt wordt. Daarom durf ik deze stelling wel aan: mijn auto is beter beveiligd als mijn thuis PC.
Ten tweede maakt het niet zoveel uit omdat ze niet direct bij het hart van de auto kunnen komen.
Niet op elektronische wijze, nee.

Maar welke autofabrikant heeft de (fysieke) toegang tot rem- en brandstofleidingen beveiligd? Of kun je gewoon bij deze kritische systemen komen door simpelweg even onder de auto of in de wielkasten te voelen?

Kun je dan ook gewoon deze kritische systemen saboteren door een gaatje in de fysiek toegankelijke leiding te maken.

Ook de (fysieke) toegang tot de wielmoeren is niet beveiligd, op 1 slot-bout na misschien.

Kun je dan ook gewoon dit kritische systeem saboteren door drie of vier wielmoeren (gedeeltelijk) lost te draaien, zodat er straks op de snelweg bij 140km/h een wiel af vliegt?

[Reactie gewijzigd door 2TheMaks op 10 februari 2015 01:29]

[...]

Niet op elektronische wijze, nee.

Maar welke autofabrikant heeft de (fysieke) toegang tot rem- en brandstofleidingen beveiligd? Of kun je gewoon bij deze kritische systemen komen door simpelweg even onder de auto of in de wielkasten te voelen?

Kun je dan ook gewoon deze kritische systemen saboteren door een gaatje in de fysiek toegankelijke leiding te maken.

Ook de (fysieke) toegang tot de wielmoeren is niet beveiligd, op 1 slot-bout na misschien.
Volgens mij is sabotage niet het grootste probleem, diefstal is een groter probleem.

Hoeveel auto's ken je die op zo'n manier gesaboteerd zijn?
Kun je dan ook gewoon dit kritische systeem saboteren door drie of vier wielmoeren (gedeeltelijk) lost te draaien, zodat er straks op de snelweg bij 140km/h een wiel af vliegt?
En dat merk je niet dat de wielbouten los zitten?
Als je dat niet niet merkt moet je rijbewijs direct ingenomen worden.

[Reactie gewijzigd door worldcitizen op 10 februari 2015 10:01]

Alle fabrikanten moeten mee in de 'slimmer, sneller, mooier' rat race. Over tien jaar is er geen auto meer te koop die niet op één of andere manier connected is. Als het niet vanwege comfort is, dan wordt er wel een argument als veiligheid of milieu bijgesleept om connectivity wettelijk te verplichten.

Uiteindelijk ben je als consument niet in staat om jezelf te beschermen.
Uiteindelijk ben je als consument niet in staat om jezelf te beschermen.
Diezelfde consument heeft al lang een smartphone in zijn linker broekzak. Waarschijnlijk eentje met een besturingssyteem dat gemaakt is door een advertentieverkoper. Je gaat je afvragen of de consument wel weet tegen welk gevaar hij zich eigenlijk zou moeten beschermen.
Ik heb het niet zo met al die nieuwe ''features'' in me auto.
Was al blij dat ik een radio had en een inbouw navigatiesysteem vroegaah ;)

Maar nu alles zo onder zulke systemen naah, maar ja is wel de toekomst natuurlijk om zo min mogelijk privacy als consument te hebben...
Helaas is de meerderheid van de mensen niet bepaald kritisch op dat vlak (cf. Facebook waar mensen vrijwillig hun hele leven te grabbel gooien).
Ik zou het sowieso raar vinden als een Android OS (of wat voor OS dan ook) zomaar even toegang heeft tot mijn boordcomputer. Een beetje hacker krijgt dan zo met een OBDII app via bluetooth toegang tot de boordcomputer en kan vervolgens de meest vreemde dingen uithalen met de auto.

In mijn mening moet het motormanagementsysteem altijd compleet losstaan van het entertainment systeem, hooguit een read-only verbinding om brandstofefficiëntie o.i.d. te zien op het display. Technologische vooruitgang is mooi maar ik heb het idee dat er met name door autofabrikanten e.d. veel te licht mee omgesprongen wordt.
read-only verbinding om brandstofefficiëntie o.i.d.
En tot gaspedaal, tank inhoud, kilometer teller zowel snelheid als afgelegde weg (zowel totaal als dag teller sinds laatste keer dat tank is open gegaan), temperatuur (blok/inlaat lucht), drukgegevens, load van de accu om te bepalen of er nog externe apparaten aan hangen en actief zijn (entertainment systeem). enz, enz.

MAW om iets zinnige te tonen heb je vrijwel alle info RO nodig.
Een beetje hacker krijgt dan zo met een OBDII app via bluetooth toegang tot de boordcomputer en kan vervolgens de meest vreemde dingen uithalen met de auto.
Dat heb ik nog nooit gezien. ODBII heeft maar zeer beperkte ontvangstmogelijkheden, veel meer dan een reset van een standaard set of parameters komt het niet. Ook ken ik geen auto waarbij je standaard via bluetooth by ODBII kan komen. Er moet daarvoor altijd een bluetooth plug ingestoken word. En daarvoor moet je eerst inbreken in de auto.

Denk dus dat je er wel van gehoord hebt maar er niet het fijne van weet. Natuurlijk altijd goed voor wat plusjes van anderen!

[Reactie gewijzigd door falconhunter op 9 februari 2015 12:47]

Dat maakt grote bedrijven en de overheid, verder helemaal niets uit. Het is zelfs fijn dat er nog meer informatie over de burgers beschikbaar komt.
Tot een hackersgroep er een hobby van maakt auto's te doen crashen.
Straks moeten we onze nieuwe auto eerst rooten/Jailbreaken om zelf alle ongewenste software te verwijderen en add-blockers te kunnen installeren.
Je brengt het ironisch. Maar ik vrees dat je 100% gelijk hebt.
op die manier maak je wel weer ruimte voor nieuwe ontwikkelingen :P
Een advertentieblocker op een auto? Gewone Google ads brengen geen virussen mee (voor zover ik weet ;) ).
Ìnternet kan handig zijn in de auto, maar is het nou echt nodig? Nope. Heb laatst ook al een artikel gelezen over dat bedrijven geïnteresseerd zijn in data uit de auto's om gericht reclame te kunnen weergeven :?. Niemand heeft daar iets mee te maken en niemand heeft behoefte aan reclame in auto's.

Er staat al genoeg rommel langs de weg. Laat de auto nou gewoon een plek van jezelf zijn en blijven. Gewoon je eigen omgeving, zonder bemoeienis van buitenaf.
Ìnternet kan handig zijn in de auto, maar is het nou echt nodig? Nope. Heb laatst ook al een artikel gelezen over dat bedrijven geïnteresseerd zijn in data uit de auto's om gericht reclame te kunnen weergeven :?. Niemand heeft daar iets mee te maken en niemand heeft behoefte aan reclame in auto's.

Er staat al genoeg rommel langs de weg. Laat de auto nou gewoon een plek van jezelf zijn en blijven. Gewoon je eigen omgeving, zonder bemoeienis van buitenaf.
Internet mag van mij gerust in een auto maar het moet IMO gescheiden zijn van alle motor besturing e.d.

Tevens moet de VS zich maar eens drukker maken over "hun" 787 Dreamliner.
Waar de netwerken niet gescheiden zijn.
nieuws: FAA: Boeing 787 Dreamliner gevoelig voor hackers
"Ook het feit dat vrijwel elke autofabrikant eigen technologie op de markt brengt zou de beveiliging niet ten goede komen. "

Is dat wel zo? Je wilt er toch niet aan dat heel veel autofabrikanten allemaal dezelfde beveiliging inbouwen want dan heb je met één hack toegang tot heel veel merken en kun je op grote schaal auto's infecteren?

God, als ik dit tegen mijn vrienden had gezegd in 1985 dan hadden ze me opgesloten :-)

Versnippering is niet slecht mits de beveiligingsafdeling van de fabrikant imba is en helemaal top. En dan nóg is er zoals altijd met ICT een risico. Maar als er dan een hack is, dan staan alleen alle Opels stil of zo. Of de radio geeft alleen nog Jan Smit door. Of alle auto's bellen ineens Mark Rutte. Of weet ik veel.

Rij zelf geen auto maar heb er ook geen zin meer in. Op de motor heb je tenminste geen ruimte voor te veel ICT. Veilig rijden!
Ik was aan het kijken naar een electrische motor (bv Zero), die kan je met bluetooth beinvloeden. En een beejte moderne BMW 2wieler heeft ook al meer electronica dan mijn auto.
At the same time, nearly all new cars on the market today include at least some wireless entry points to these computers, such as tire pressure monitoring systems, Bluetooth, Internet access, keyless entry, remote start, navigation systems, WiFi, anti-theft systems and cellular-telematics, the report said.
Bron: Bron in tekst

Het betreft dus vrijwel alle draadloze technologieën, dat miste ik in de tekst :)

Daarnaast:
Most manufacturers said they were unaware of or unable to report on past hacking incidents. Three automakers declined to answer the question. One automaker described an app designed by an outside company and released for Android devices that could access a vehicle's computer network through the Bluetooth connection. A security analysis didn't indicate any ability to introduce malicious code or steal data, but the automaker had the app removed from the Google Play store as a precautionary measure.
Bron: Bron in tekst

Zegt ook wel veel ;)

[Reactie gewijzigd door Ask! op 9 februari 2015 11:47]

De meeste autofabrikanten hebben ook geen ervaring met veiligheid aangaande software. Ze hebben allemaal een geschiedenis in electronica maar in de meeste gevallen hebben ze geen degelijke ervaring met goede software te schrijven.
In de gesloten systemen van vroeger zonder enige verbinding met het internet was dat minder een probleem. Nu alles steeds meer verbonden wordt zullen ze nog tegen veel problemen lopen.
Dus binnenkort heb je constant firmware veiligheidsupdates voor je wagen zoals bij de meeste andere met internet verbonden producten :-)
Ze hebben allemaal een geschiedenis in electronica maar in de meeste gevallen hebben ze geen degelijke ervaring met goede software te schrijven.
De autofabrikanten schrijven dan ook geen software. Ze specificeren alleen maar. Het zijn te toeleveranciers die de software schrijven en die zijn daarin wel degelijk ervaren.
Dus binnenkort heb je constant firmware veiligheidsupdates voor je wagen zoals bij de meeste andere met internet verbonden producten
Dat zal zeker zo zijn. Niet omdat auto's zo onveilig zijn. De aandrijving is en blijft het domein van realtime embedded software. Maar het infotainmentsysteem is steeds meer gewoon een grote smartphone ingebouwd in de auto. Want de gebruiker wil "apps" in de auto. En die dan ook gebaseerd op smartphone systemen (Volvo levert al jaren Android systemen) en kent dan ook dezelfde zwaktes. Ik denk daarom dat ze vrij snel de stap naar volwaardige linux systemen zullen gaan maken.
Correct dat ze het uitbesteden. Ik weet echter uit ervaring dat die toeleveranciers voornamelijk een electronica achtergrond hebben (ik werk immers in die sector als toeleverancier voor die tier 1 bedrijven). Veel van die software is echt niet goed geschreven. Vaak beginnen ze voor elk nieuw model weer van nul met nieuwe teams. Gelukkig zijn hierin ook wel uitzonderingen maar dat is zeker nog niet de regel.
Grappig. Mijn ervaring (10+ jaar embedded automotive software (voor tier-1s)) is een heel andere. Prima software, tegenwoordig veel belangrijker dan hardware en door voortdurende kostenreducties veel re-use van wat bekend is. Ook standaardisatie (zoals Autosar) neemt een grote vlucht.
Dat is wel vreemd dat we tegengestelde ervaring hebben :-).
Kan zijn dat ik het te fel veralgemeen en het vooral voorkomt bij de component van TTS/spraakherkenning waarop ik werk. Ik zie immers de andere delen niet zo veel.
Daar zien we regelmatig teams van nul opnieuw beginnen zonder enige ervaring en maken ze steeds dezelfde fouten.
In de jaren 80 was er al een mooi voorbeeld van wanneer Auto hardware/software een probleem vormt:

In Knight Rider is de AI van KITT meerdere keren al overgenomen, zie voorbeeld in onderstaand filmpje:
https://www.youtube.com/watch?v=sK80O2BiTGA
en in de 2008 serie is dat nog eens een paar keer dunnetjes overgedaan, ondanks 3 firewalls was de auto bijna in verkeerde handen gevallen...
Dat is al jaren zo. Een paar jaar geleden zag ik op tv, een programma dat ze bij een hackersbeurs waren. Een paar jaar geleden was het niet veilig, en nu nog steeds niet..

Zonder OS kan je ook een auto het ravijn in laten rijden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True