Onderzoekers van PCAutomotive hebben twaalf kwetsbaarheden in het infotainmentsysteem van bepaalde Skoda's en Volkswagens ontdekt. Het cybersecuritybedrijf kon de bugs misbruiken om op afstand via bluetooth te verbinden. Beide fabrikanten zeggen maatregelen te hebben genomen.
PCAutomotive heeft aan TechCrunch meegedeeld dat de fouten in het MIB3-infotainmentsysteem zitten. Dat wordt naar eigen zeggen gebruikt in verschillende modellen van Skoda en het moederbedrijf Volkswagen. Naar schatting zijn er meer dan 1,4 miljoen kwetsbare voertuigen in omloop. Afhankelijk van hoeveel tweedehands MIB3-systemen er in omloop zijn kan dat getal nog veel hoger zijn.
Aanvallers kunnen de kwetsbaarheden misbruiken om van een afstand van wel tien meter zonder authenticatie te verbinden via bluetooth. Eenmaal verbonden zijn de hackers in staat om elke keer dat het systeem opstart malafide code uit te voeren. PCAutomotive beweert dat aanvallers gegevens met betrekking tot de gps of snelheid kunnen bemachtigen, evenals contactgegevens en audio die via de ingebouwde microfoon wordt opgenomen. Ook screenshots maken van het display en geluiden in de auto afspelen behoren tot de mogelijkheden.
Danila Parnishchev, hoofd veiligheidsbeoordeling bij PCAutomotive, heeft de kwetsbaarheden gedemonstreerd door in te breken in het systeem van een Skoda Superb III. Parnishchev benadrukt dat de onderzoekers geen manier hebben gevonden om toegang te krijgen tot kritieke functionaliteit van het voertuig, zoals het stuur, gaspedaal of de remmen.
PCAutomotive heeft van Volkswagen te horen gekregen dat het de kwetsbaarheden heeft verholpen. Wat Skoda betreft heeft een woordvoerder aan TechCrunch laten weten dat 'de gerapporteerde kwetsbaarheden zijn en worden aangepakt'.