Fiat Chrysler roept in de Verenigde Staten 1,4 miljoen auto's terug vanwege kwetsbaarheden die beveiligingsonderzoekers onlangs vonden in het onboardsysteem UConnect. Door de problemen kunnen kwaadwillenden over het internet onder andere de remmen uitschakelen.
Fiat Chrysler roept vrijdag relatief jonge auto's terug die beschikken over 8,4"-touchscreens. Het gaat onder meer om de types Dodge Durango, Dodge Viper, Jeep Cherokee, Jeep Grand Cherokee, Chrysler 200 en Chrysler 300. De getroffen wagens zijn gemaakt eind 2013, heel 2014 en begin 2015.
De terugroepactie in de VS volgt nadat eerder deze week beveiligingsonderzoekers meldden dat ze kwetsbaarheden hadden gevonden in het onboardsysteem van de auto's. De onderzoekers kwamen erachter dat het bij een Amerikaanse Jeep Cherokee mogelijk is om via UConnect de remmen helemaal uit te schakelen, opeens te activeren of de motor bij lage snelheden uit te zetten. Zij konden dat doen via het internet, en dus zonder afstandslimiet.
Fiat Chrysler zegt een software-update te willen uitvoeren om de kwetsbaarheden in UConnect te verhelpen. De software kan niet automatisch worden bijgewerkt. Het is dan ook aannemelijk dat Fiat Chrysler daarom de auto's terugroept. Overigens verscheen deze week al een patch voor bestuurders die de software handmatig willen installeren met behulp van een usb-stick. Fiat Chrysler deelt aan gedupeerden nu zekerheidshalve ook een usb-stick uit om de kwetsbare software bij te werken.
De autofabrikant benadrukt dat er tot dusver geen gevallen bekend zijn waarbij kwaadwillenden de kwetsbaarheden hebben misbruikt. Volgens Fiat Chrysler zouden daarvoor namelijk 'unieke en uitgebreide technische kennis' en 'langdurig fysieke toegang tot een testvoertuig' noodzakelijk zijn. Bovendien zou het enige tijd duren om malafide code te schrijven.
Over het lek zijn ten slotte nog niet alle details bekendgemaakt, behalve dat het voldoende is om het ip-adres van een auto te weten om het lek te kunnen misbruiken. De beveiligingsonderzoekers zeggen tijdens de Black Hat-conferentie in Las Vegas meer informatie prijs te geven. Die conferentie vindt begin augustus plaats. De onderzoekers zullen dan geen firmware publiceren.