Onderzoekers hacken mediasysteem van bepaalde Skoda's en Volkswagens op afstand

Onderzoekers van PCAutomotive hebben twaalf kwetsbaarheden in het infotainmentsysteem van bepaalde Skoda's en Volkswagens ontdekt. Het cybersecuritybedrijf kon de bugs misbruiken om op afstand via bluetooth te verbinden. Beide fabrikanten zeggen maatregelen te hebben genomen.

PCAutomotive heeft aan TechCrunch meegedeeld dat de fouten in het MIB3-infotainmentsysteem zitten. Dat wordt naar eigen zeggen gebruikt in verschillende modellen van Skoda en het moederbedrijf Volkswagen. Naar schatting zijn er meer dan 1,4 miljoen kwetsbare voertuigen in omloop. Afhankelijk van hoeveel tweedehands MIB3-systemen er in omloop zijn kan dat getal nog veel hoger zijn.

Aanvallers kunnen de kwetsbaarheden misbruiken om van een afstand van wel tien meter zonder authenticatie te verbinden via bluetooth. Eenmaal verbonden zijn de hackers in staat om elke keer dat het systeem opstart malafide code uit te voeren. PCAutomotive beweert dat aanvallers gegevens met betrekking tot de gps of snelheid kunnen bemachtigen, evenals contactgegevens en audio die via de ingebouwde microfoon wordt opgenomen. Ook screenshots maken van het display en geluiden in de auto afspelen behoren tot de mogelijkheden.

Danila Parnishchev, hoofd veiligheidsbeoordeling bij PCAutomotive, heeft de kwetsbaarheden gedemonstreerd door in te breken in het systeem van een Skoda Superb III. Parnishchev benadrukt dat de onderzoekers geen manier hebben gevonden om toegang te krijgen tot kritieke functionaliteit van het voertuig, zoals het stuur, gaspedaal of de remmen.

PCAutomotive heeft van Volkswagen te horen gekregen dat het de kwetsbaarheden heeft verholpen. Wat Skoda betreft heeft een woordvoerder aan TechCrunch laten weten dat 'de gerapporteerde kwetsbaarheden zijn en worden aangepakt'.

Door Idriz Velghe

Redacteur

Feedback • 13-12-2024 13:46
36 • submitter: wildhagen

13-12-2024 • 13:46

36

Submitter: wildhagen

Lees meer

Hackers konden locatie van Subaru-auto's in VS inzien en auto's ontgrendelen
Hackers konden locatie van Subaru-auto's in VS inzien en auto's ontgrendelen Nieuws van 24 januari 2025
Hackers voorzien Chrome-extensie securitybedrijf van malware, konden data stelen
Hackers voorzien Chrome-extensie securitybedrijf van malware, konden data stelen Nieuws van 29 december 2024
Gegevens van 800.000 elektrische auto's blootgesteld bij Volkswagen-lek
Gegevens van 800.000 elektrische auto's blootgesteld bij Volkswagen-lek Nieuws van 27 december 2024
NIO plaatst eerste EV-accuwisselstation in België
NIO plaatst eerste EV-accuwisselstation in België Nieuws van 12 december 2024
Nederland wil vanaf 2027 meer tests met autonome auto's op weg mogelijk maken
Nederland wil vanaf 2027 meer tests met autonome auto's op weg mogelijk maken Nieuws van 11 december 2024
General Motors stopt met ontwikkeling van Cruise-robotaxi
General Motors stopt met ontwikkeling van Cruise-robotaxi Nieuws van 11 december 2024
Kia gaat inzichten uit data van automobilisten delen met overheden en bedrijven
Kia gaat inzichten uit data van automobilisten delen met overheden en bedrijven Nieuws van 5 december 2024
NIO laat Nederlandse EV-accuabonnees accu omwisselen voor groter exemplaar
NIO laat Nederlandse EV-accuabonnees accu omwisselen voor groter exemplaar Nieuws van 3 december 2024
Meer producten en artikelen
Beveiliging en antivirus Cartech skoda volkswagen Bugs Hack Hackers

Reacties (36)

-Moderatie-faq
36
36
24
0
0
10
Wijzig sortering

Sorteer op:

Weergave:
Blommie01 13 december 2024 13:55
Dat het gerepareerd is lijkt me de juiste eerste stap…

Nu de vraag hoe ze die 1,4 miljoen auto’s gaan updaten..

OTA?
michaelkamen @Blommie0113 december 2024 13:57
Hebben VW en Skoda geen systeem voor OTA updates?
DonJunior
@michaelkamen13 december 2024 14:00
MiB3 heeft dit inderdaad niet. De nieuwere versies allemaal wel, maar die hebben dit probleem dus niet.
skai21 @DonJunior13 december 2024 14:23
Ik had een Skoda Kamiq met MIB3 en die kon gewoon OTA hoor :)
PalingDrone @skai2113 december 2024 14:51
Zal ook met een bepaald uitrustingsniveau te maken hebben welk systeem er in zit.
DonJunior
@skai2113 december 2024 22:21
Dan heb je het over kaartupdates voor.je navigatie. Dat is niet hetzelfde als een software update van het gehele mediasysteem.
Blommie01 @michaelkamen13 december 2024 14:01
Ik had in mijn 2019 Passat wel online updates maar dat was onderdeel van een abonnement. Daarmee kon ik twee keer per jaar (via eigen internetverbinding) kaartupdates doen.
ultimasnake @Blommie0113 december 2024 20:33
Maar laten we eerlijk zijn, een kaartupdate is van een hele andere orde dan onboard entertainment software of zelfs firmware van de hardware in je auto... ik vermoed dat de 2019 modellen dat allemaal nog niet hadden.... Vraag me hoe dan ook af hoeveel updates een auto destijds kreeg naast wat "map bestandjes"
Blommie01 @ultimasnake13 december 2024 21:51
Naast kaartupdates werd de firmware van de het mediasysteem zelf ook ge-update.

De auto zelf uiteraard niet.
maffiaric @michaelkamen13 december 2024 15:52
Mogelijk als je hem voor APK of service naar de garage brengt
PalingDrone @Blommie0113 december 2024 14:00
Gezien hoe je dit systeem binnenkomt zou dat ironisch genoeg misschien nog wel lukken ook, zolang de A maar binnen Bluetooth bereik is.
joenevd @Blommie0113 december 2024 16:37
Toevallig kreeg ik deze week een update binnen op de Octavia (uit 2023), vandaag ging hij hem installeren. Mocht de auto een half uur lang niet gebruiken :+
_eLMo_ @Blommie0113 december 2024 23:47
Wat dacht je van: niet? Die auto’s zijn uit de garantie. Het is opgelost in de nieuwste versie, die alleen nieuwere auto’s dus nog installeren.

Firmware update is geen standaard onderhoud oudere auto’s bij VAG.
Korvaag 13 december 2024 14:00
Nou is het alweer een tijdje geleden dat ik een Skoda had, maar toen kon dit systeem niet op afstand bijgewerkt worden. Dat moest je zelf doen (of de dealer natuurlijk). Het is dus goed dat deze kwetsbaarheden worden aangepakt maar daarmee zijn de auto's nog niet bijgewerkt. Ben benieuwd hoe en of ze daar actief wat aan gaan doen.
Aiii @Korvaag13 december 2024 14:03
Zoals het met normale non-kritische recall's ook zal gaan lijkt mij logisch, bij je volgende beurt updaten ze het systeem.
The Zep Man
@Aiii13 december 2024 14:16
Aangenomen dat iemand diens auto door een officiële garage laat onderhouden. Nu zal dat nog wel meevallen voor MIB3, wat in 2021 werd geïntroduceerd. Die auto's zijn zo nieuw dat ze veelal nog bij de officiële garages zullen worden onderhouden. Maar hoe zit dat over vijf jaar? Of tien? En kwetsbaarheden die in die tijd nog gevonden worden?

[Reactie gewijzigd door The Zep Man op 13 december 2024 14:19]

FPSUsername @The Zep Man13 december 2024 16:13
Mib 2 en ouder hebben ook allemaal kwetsbaarheden. Die worden eigenlijk alleen gebruikt om functies vrij te schakelen zoals lifetime kaart updates en bij mib 2 en nieuwer carplay en android auto.

Maar als de infotainment systemen meer kunnen met andere functies van de auto (zoals deuren openen), dan zijn kwetsbaarheden zoals deze wel een serieus probleem (maar dit hebben we al vele malen eerder gezien met keyless entry en renault die dezelfde encryptie gebruikte voor alle autos).
Mr-D. @The Zep Man13 december 2024 21:29
mijn Skoda is nu bijna 3 jaar oud maar vanaf dag 1 pushed Leaseplan nu envases of zoiets mij naar James Autogarage, en die kan niet updaten.

dus dat is dan wel weer een dingetje als niet tweaker zo'n leasebak heeft.
Korvaag @Aiii13 december 2024 14:18
Dat werd iig niet standaard gedaan en als ze het al moesten doen waren ze daar een dag mee bezig omdat ze er weinig verstand van hadden. Ik zie dat niet zo 1 2 3 voor elke auto gebeuren maar wellicht ben ik te kritisch.
Louw Post @Korvaag13 december 2024 14:56
Weet niet of het verbeterd is ondertussen, maar ik hoorde een paar jaar terug nog van collega's die telkens naar de dealer moesten als ze een update wilden hebben, met hun ID.x of Cupra Born auto's. Dat was bij de introductie van de auto's nog best wel vaak nodig.

Toen ik nog een Seat Ibiza als lease had wilde de VAG dealer in de buurt ook geen update doen tenzij het echt moest, terwijl ik wist dat de nieuwere versie wireless android auto introduceerde als ik het me goed herinner.
-Colossalman- @Louw Post14 december 2024 16:03
Zelfde als bij Audi, die doen ook extreem lastig als je vraagt naar software updates.. als die er al zijn
schrikbeeld @Korvaag13 december 2024 18:30
@Korvaag De eerste reactie die je van VW verwacht is dat er een lek is geconstateerd en dat deze verholpen is.
Dat verhelpen in de auto is een gevolg daarna.

Openheid van VW is misschien iets teveel gevraagd.
bozothenutter 13 december 2024 13:51
dus...alles van VAG?
wildhagen
@bozothenutter13 december 2024 13:57
Nee dus:
PCAutomotive heeft aan TechCrunch meegedeeld dat de fouten in het MIB3-infotainmentsysteem zitten. Dat wordt naar eigen zeggen gebruikt in verschillende modellen van Skoda en het moederbedrijf Volkswagen.
Alleen modellen die dat MIB3-systeem gebruiken, en dan mogelijk nog niet alle modellen. En alleen VW en Skoda worden genoemd.

Het kan best zijn dat andere VAG-merken zoals Lamborghini, Porsche, Bentley, Jetta, Audi, Seat etc het ook hebben, maar voor hetzelfde geld gebruiken die een ander systeen. Of hetzelfde systeem, maar niet de specifieke component die het lek veroorzaakt.
Frame164 @bozothenutter13 december 2024 13:58
Nee, VAG heeft meerdere (verschillende) systemen. Zelfs met een compleet andere basis.
DonJunior
@bozothenutter13 december 2024 13:59
Nee. Alles van voor 2022 met uitzondering van de ID.x (electrische series) die maken gebruik van het ICAS3 (In-Car Application Server) systeem niet het MIB (Modularer Infotainment Baukasten) platform.

Nieuwe volkswagen modellen zitten op het MiB4 platform (sinds 2022 ongeveer)

[Reactie gewijzigd door DonJunior op 13 december 2024 14:00]

Aiii @bozothenutter13 december 2024 13:59
Volgens het artikel alleen Skoda en Volkswagen, maar Audi/Seat/Cupra/Porsche/Bentley gebruiken ook allemaal MIB3.

Kan mij voorstellen dat wellicht Audi, Porsche en Bentley een luxer software systeem hebben, maar Seat/Cupra zal zeker niets anders dan een reskin van het VW/Skoda software zijn.

Zelfs Lamborghini gebruikt het volgens dit document: https://www.lamborghini.c...System/MIB3TOP_UK_DoC.pdf

[Reactie gewijzigd door Aiii op 13 december 2024 14:01]

Yzord @bozothenutter13 december 2024 14:02
Dat klopt. Ik heb ook een MIB3 in mijn Audi zitten.
The third generation of the modular infotainment matrix was introduced in 2019 in the product upgrade of the Audi A4 (type 8W).
In order to be able to equip all model ranges with the MIB3, three different versions are used at Audi:

> MIB3 Basic
> MIB3 High
> MIB3 Premium

The main distinguishing features of the three versions and their differences are explained below.
https://static.nhtsa.gov/odi/tsbs/2021/MC-10189329-0001.pdf
DennusB 13 december 2024 13:56
Op afstand verbinden via bluetooth? Dat klinkt als niet heel ver "op afstand" dan
Frame164 @DennusB13 december 2024 14:03
"Een afstand van wel 10 meter" volgens het artikel.... De schrijver vind dat waarschijnlijk indrukwekkend :-) Als je gesprekken wilt afluisteren terwijl de auto rijdt moet je gaan bumperkleven.

Door die korte afstand is grootschalig misbruik van deze vulnerability niet heel aannemelijk. Praktisch gezien kan je maar 1 auto tegelijkertijd hacken.

Als hacker zou ik mijn aandacht richten op het cloud systeem waarmee auto's verbonden zijn. Veel efficienter als je de boel wilt ontregelen.
William_H @Frame16415 december 2024 03:01
Dat laatste wordt ook zeker gedaan.
Recent nog gedaan met een aziaat, waarbij er veel zaken overgenomen konden worden van de auto via het dealernetwerk.
Alpha89 13 december 2024 15:00
Skoda maar ook Volkswagen zijn sinds een week of twee een OTA firmware aan het pushen naar iig de Octavia 4 en Golf 8. Normaal zijn ze daar mega terughoudend mee en doen ze dat liever niet. Maar nood breekt wet blijkbaar. Op screenshots van de Golf 8 staat dat het om cyber security updates gaat.
Hendrik55 14 december 2024 12:36
Hoe, waar kan ik zien of ik MIB2 of MIB3 heb?
Een T-Cross uit 2020. Of staat er ergens een lijst online waar ik dat kan zien?
Noresponse 13 december 2024 14:20
Ik las volkswagen en dacht meteen aan BB QNX, maar dat systeem heet cariad en dat is deze niet en wat ik las is dat de update MIB3 voor de problemen zorgde. Lijkt mij dat men gewoon een update moet doen met een rollback.
FalconerHG 13 december 2024 14:26
Niet de eerste keer. CompuTest (Nederlands bedrijf) deed zoiets een jaar of 5 geleden ook al bij VW. Ik denk dat we er vanuit moeten gaan dat al deze systemen (niet alleen VW) zo lek zijn als een mandje, met name bij iets oudere modellen.
Dreamvoid 13 december 2024 17:20
Kan je op dit systeem Bluetooth ook uitschakelen en alleen via kabel verbinden?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq