Onderzoekers hacken mediasysteem van bepaalde Skoda's en Volkswagens op afstand

Onderzoekers van PCAutomotive hebben twaalf kwetsbaarheden in het infotainmentsysteem van bepaalde Skoda's en Volkswagens ontdekt. Het cybersecuritybedrijf kon de bugs misbruiken om op afstand via bluetooth te verbinden. Beide fabrikanten zeggen maatregelen te hebben genomen.

PCAutomotive heeft aan TechCrunch meegedeeld dat de fouten in het MIB3-infotainmentsysteem zitten. Dat wordt naar eigen zeggen gebruikt in verschillende modellen van Skoda en het moederbedrijf Volkswagen. Naar schatting zijn er meer dan 1,4 miljoen kwetsbare voertuigen in omloop. Afhankelijk van hoeveel tweedehands MIB3-systemen er in omloop zijn kan dat getal nog veel hoger zijn.

Aanvallers kunnen de kwetsbaarheden misbruiken om van een afstand van wel tien meter zonder authenticatie te verbinden via bluetooth. Eenmaal verbonden zijn de hackers in staat om elke keer dat het systeem opstart malafide code uit te voeren. PCAutomotive beweert dat aanvallers gegevens met betrekking tot de gps of snelheid kunnen bemachtigen, evenals contactgegevens en audio die via de ingebouwde microfoon wordt opgenomen. Ook screenshots maken van het display en geluiden in de auto afspelen behoren tot de mogelijkheden.

Danila Parnishchev, hoofd veiligheidsbeoordeling bij PCAutomotive, heeft de kwetsbaarheden gedemonstreerd door in te breken in het systeem van een Skoda Superb III. Parnishchev benadrukt dat de onderzoekers geen manier hebben gevonden om toegang te krijgen tot kritieke functionaliteit van het voertuig, zoals het stuur, gaspedaal of de remmen.

PCAutomotive heeft van Volkswagen te horen gekregen dat het de kwetsbaarheden heeft verholpen. Wat Skoda betreft heeft een woordvoerder aan TechCrunch laten weten dat 'de gerapporteerde kwetsbaarheden zijn en worden aangepakt'.

Door Idriz Velghe

Redacteur

13-12-2024 • 13:46

36

Submitter: wildhagen

Reacties (36)

Sorteer op:

Weergave:

Dat het gerepareerd is lijkt me de juiste eerste stap…

Nu de vraag hoe ze die 1,4 miljoen auto’s gaan updaten..

OTA?
Hebben VW en Skoda geen systeem voor OTA updates?
MiB3 heeft dit inderdaad niet. De nieuwere versies allemaal wel, maar die hebben dit probleem dus niet.
Ik had een Skoda Kamiq met MIB3 en die kon gewoon OTA hoor :)
Zal ook met een bepaald uitrustingsniveau te maken hebben welk systeem er in zit.
Dan heb je het over kaartupdates voor.je navigatie. Dat is niet hetzelfde als een software update van het gehele mediasysteem.
Ik had in mijn 2019 Passat wel online updates maar dat was onderdeel van een abonnement. Daarmee kon ik twee keer per jaar (via eigen internetverbinding) kaartupdates doen.
Maar laten we eerlijk zijn, een kaartupdate is van een hele andere orde dan onboard entertainment software of zelfs firmware van de hardware in je auto... ik vermoed dat de 2019 modellen dat allemaal nog niet hadden.... Vraag me hoe dan ook af hoeveel updates een auto destijds kreeg naast wat "map bestandjes"
Naast kaartupdates werd de firmware van de het mediasysteem zelf ook ge-update.

De auto zelf uiteraard niet.
Mogelijk als je hem voor APK of service naar de garage brengt
Gezien hoe je dit systeem binnenkomt zou dat ironisch genoeg misschien nog wel lukken ook, zolang de A maar binnen Bluetooth bereik is.
Toevallig kreeg ik deze week een update binnen op de Octavia (uit 2023), vandaag ging hij hem installeren. Mocht de auto een half uur lang niet gebruiken :+
Wat dacht je van: niet? Die auto’s zijn uit de garantie. Het is opgelost in de nieuwste versie, die alleen nieuwere auto’s dus nog installeren.

Firmware update is geen standaard onderhoud oudere auto’s bij VAG.
Nou is het alweer een tijdje geleden dat ik een Skoda had, maar toen kon dit systeem niet op afstand bijgewerkt worden. Dat moest je zelf doen (of de dealer natuurlijk). Het is dus goed dat deze kwetsbaarheden worden aangepakt maar daarmee zijn de auto's nog niet bijgewerkt. Ben benieuwd hoe en of ze daar actief wat aan gaan doen.
Zoals het met normale non-kritische recall's ook zal gaan lijkt mij logisch, bij je volgende beurt updaten ze het systeem.
Aangenomen dat iemand diens auto door een officiële garage laat onderhouden. Nu zal dat nog wel meevallen voor MIB3, wat in 2021 werd geïntroduceerd. Die auto's zijn zo nieuw dat ze veelal nog bij de officiële garages zullen worden onderhouden. Maar hoe zit dat over vijf jaar? Of tien? En kwetsbaarheden die in die tijd nog gevonden worden?

[Reactie gewijzigd door The Zep Man op 13 december 2024 14:19]

Mib 2 en ouder hebben ook allemaal kwetsbaarheden. Die worden eigenlijk alleen gebruikt om functies vrij te schakelen zoals lifetime kaart updates en bij mib 2 en nieuwer carplay en android auto.

Maar als de infotainment systemen meer kunnen met andere functies van de auto (zoals deuren openen), dan zijn kwetsbaarheden zoals deze wel een serieus probleem (maar dit hebben we al vele malen eerder gezien met keyless entry en renault die dezelfde encryptie gebruikte voor alle autos).
mijn Skoda is nu bijna 3 jaar oud maar vanaf dag 1 pushed Leaseplan nu envases of zoiets mij naar James Autogarage, en die kan niet updaten.

dus dat is dan wel weer een dingetje als niet tweaker zo'n leasebak heeft.
Dat werd iig niet standaard gedaan en als ze het al moesten doen waren ze daar een dag mee bezig omdat ze er weinig verstand van hadden. Ik zie dat niet zo 1 2 3 voor elke auto gebeuren maar wellicht ben ik te kritisch.
Weet niet of het verbeterd is ondertussen, maar ik hoorde een paar jaar terug nog van collega's die telkens naar de dealer moesten als ze een update wilden hebben, met hun ID.x of Cupra Born auto's. Dat was bij de introductie van de auto's nog best wel vaak nodig.

Toen ik nog een Seat Ibiza als lease had wilde de VAG dealer in de buurt ook geen update doen tenzij het echt moest, terwijl ik wist dat de nieuwere versie wireless android auto introduceerde als ik het me goed herinner.
Zelfde als bij Audi, die doen ook extreem lastig als je vraagt naar software updates.. als die er al zijn
@Korvaag De eerste reactie die je van VW verwacht is dat er een lek is geconstateerd en dat deze verholpen is.
Dat verhelpen in de auto is een gevolg daarna.

Openheid van VW is misschien iets teveel gevraagd.
Nee dus:
PCAutomotive heeft aan TechCrunch meegedeeld dat de fouten in het MIB3-infotainmentsysteem zitten. Dat wordt naar eigen zeggen gebruikt in verschillende modellen van Skoda en het moederbedrijf Volkswagen.
Alleen modellen die dat MIB3-systeem gebruiken, en dan mogelijk nog niet alle modellen. En alleen VW en Skoda worden genoemd.

Het kan best zijn dat andere VAG-merken zoals Lamborghini, Porsche, Bentley, Jetta, Audi, Seat etc het ook hebben, maar voor hetzelfde geld gebruiken die een ander systeen. Of hetzelfde systeem, maar niet de specifieke component die het lek veroorzaakt.
Nee, VAG heeft meerdere (verschillende) systemen. Zelfs met een compleet andere basis.
Nee. Alles van voor 2022 met uitzondering van de ID.x (electrische series) die maken gebruik van het ICAS3 (In-Car Application Server) systeem niet het MIB (Modularer Infotainment Baukasten) platform.

Nieuwe volkswagen modellen zitten op het MiB4 platform (sinds 2022 ongeveer)

[Reactie gewijzigd door DonJunior op 13 december 2024 14:00]

Volgens het artikel alleen Skoda en Volkswagen, maar Audi/Seat/Cupra/Porsche/Bentley gebruiken ook allemaal MIB3.

Kan mij voorstellen dat wellicht Audi, Porsche en Bentley een luxer software systeem hebben, maar Seat/Cupra zal zeker niets anders dan een reskin van het VW/Skoda software zijn.

Zelfs Lamborghini gebruikt het volgens dit document: https://www.lamborghini.c...System/MIB3TOP_UK_DoC.pdf

[Reactie gewijzigd door Aiii op 13 december 2024 14:01]

Dat klopt. Ik heb ook een MIB3 in mijn Audi zitten.
The third generation of the modular infotainment matrix was introduced in 2019 in the product upgrade of the Audi A4 (type 8W).
In order to be able to equip all model ranges with the MIB3, three different versions are used at Audi:

> MIB3 Basic
> MIB3 High
> MIB3 Premium

The main distinguishing features of the three versions and their differences are explained below.
https://static.nhtsa.gov/odi/tsbs/2021/MC-10189329-0001.pdf
Op afstand verbinden via bluetooth? Dat klinkt als niet heel ver "op afstand" dan
"Een afstand van wel 10 meter" volgens het artikel.... De schrijver vind dat waarschijnlijk indrukwekkend :-) Als je gesprekken wilt afluisteren terwijl de auto rijdt moet je gaan bumperkleven.

Door die korte afstand is grootschalig misbruik van deze vulnerability niet heel aannemelijk. Praktisch gezien kan je maar 1 auto tegelijkertijd hacken.

Als hacker zou ik mijn aandacht richten op het cloud systeem waarmee auto's verbonden zijn. Veel efficienter als je de boel wilt ontregelen.
Dat laatste wordt ook zeker gedaan.
Recent nog gedaan met een aziaat, waarbij er veel zaken overgenomen konden worden van de auto via het dealernetwerk.
Skoda maar ook Volkswagen zijn sinds een week of twee een OTA firmware aan het pushen naar iig de Octavia 4 en Golf 8. Normaal zijn ze daar mega terughoudend mee en doen ze dat liever niet. Maar nood breekt wet blijkbaar. Op screenshots van de Golf 8 staat dat het om cyber security updates gaat.
Hoe, waar kan ik zien of ik MIB2 of MIB3 heb?
Een T-Cross uit 2020. Of staat er ergens een lijst online waar ik dat kan zien?
Ik las volkswagen en dacht meteen aan BB QNX, maar dat systeem heet cariad en dat is deze niet en wat ik las is dat de update MIB3 voor de problemen zorgde. Lijkt mij dat men gewoon een update moet doen met een rollback.
Niet de eerste keer. CompuTest (Nederlands bedrijf) deed zoiets een jaar of 5 geleden ook al bij VW. Ik denk dat we er vanuit moeten gaan dat al deze systemen (niet alleen VW) zo lek zijn als een mandje, met name bij iets oudere modellen.
Kan je op dit systeem Bluetooth ook uitschakelen en alleen via kabel verbinden?

Op dit item kan niet meer gereageerd worden.