Hackers konden locatie van Subaru-auto's in VS inzien en auto's ontgrendelen

Subaru heeft een beveiligingslek gerepareerd in zijn Starlink-adminpanel. Dit lek maakte het mogelijk om vrijwel alle Subaru-auto's in de VS, Canada en Japan te laten starten en stoppen en persoonlijke gebruikersgegevens te achterhalen. Twee hackers ontdekten dat probleem.

Hackers Sam Curry en Shubham Shah ontdekten de kwetsbaarheid in november vorig jaar. Het betreft een bug in Subaru's Starlink-platform, dat onder andere de multimediafuncties in Subaru's regelt. De onderzoekers delen niet alleen details in hun blogpost, maar hebben ook een proof of concept online gezet waarin ze aantonen hoe de kwetsbaarheid werkt. Ze gaven dit door aan Subaru, waarna het bedrijf binnen een dag de bug repareerde.

De onderzoekers ontdekten online een inlogomgeving voor Subaru-werknemers. Met brute force vonden ze onder andere de JavaScript-bestanden voor het loginformulier. Daarin zat een resetPassword.json-endpoint waarmee een aanvaller zonder token een account kon resetten, op basis van het e-mailadres van een werknemer. Opvallend is dat de onderzoekers de multifactorauthenticatieprompt wisten te omzeilen door die simpelweg uit de gebruikersinterface te verbergen.

Subaru locatiegegevens

Met die inlog was het mogelijk om op basis van alleen een nummerplaat en een Amerikaanse staat toegang te krijgen tot het account van een Subaru-bezitter. In dat account konden de onderzoekers bepaalde functies van de auto op afstand bedienen, met als opvallendste de mogelijkheid om de auto te ontgrendelen. Ook konden ze de claxon en lichten bedienen.

De onderzoekers konden via het account echter ook bij de locatiedata die de auto in de afgelopen jaren had verzameld. Het ging volgens hen om data die jaren terugging. Zo verzamelde de auto van de moeder van een van de onderzoekers in een jaar bijna 1600 datapunten in de vorm van gps-coördinaten. Verder is het via het account mogelijk om namen, adressen, telefoonnummers en het framenummer van de auto te achterhalen via de portal.

Reacties (140)

Tyrian 24 januari 2025 13:58

Zo te zien heeft de fabrikant nog meer controle over het voertuig dan de eigenaar. Ook zonder dat er een mogelijk risico voor hacks ontstaat vraag ik me af of dit wel zo mag. Op het moment dat de eigendomsoverdracht heeft plaatsgevonden naar de koper dan zou de fabrikant dit niet meer moeten mogen. Zowel met het oog op eigendom als het oog op privacy.

david-v

@Tyrian • 24 januari 2025 14:58

Locatie data die door de autobouwer wordt bijgehouden is wel zorgelijk ja. Blijkbaar is dat dus ook aan de persoon gekoppeld. Bij andere autobouwers staat expliciet vermeld dat alleen de huidige locatie bekend is (of de locatie na een crash in de EDR). Dat Subaru dat bewaard en ook zo lang is volgens mij nergens voor nodig en zou je ook toestemming voor moeten hebben als ze dat doen. Niet netjes als je het mij vraagt.

Aldy @david-v • 24 januari 2025 18:28

Locatie data die door de autobouwer wordt bijgehouden is wel zorgelijk ja.

Ik kreeg de indruk uit de tekst dat de auto zelf die gegevens bijhoudt. Door in te loggen konden de onderzoekers al die gegevens achterhalen.

david-v

@Aldy • 24 januari 2025 18:33

Ik denk niet dat de data alleen op de auto staat.

Met die inlog was het mogelijk om op basis van alleen een nummerplaat en een Amerikaanse staat toegang te krijgen tot het account van een Subaru-bezitter.

De onderzoekers konden via het account echter ook bij de locatiedata die de auto in de afgelopen jaren had verzameld.

Als de auto tijdelijk geen toegang heeft tot een verbinding zou je deze data niet kunnen uitlezen, maar dat blijkt niet uit het artikel. Of mijn aanname correct is weet ik ook niet.

Lothlórien @david-v • 24 januari 2025 19:36

Bij mijn Toyota is het zo dat na iedere parkeeractie de rit gegevens worden geüpload naar je account. (Tenzij je de privacy modus aanzet). Hiervoor moet je dan ook akkoord gaan met de privacyvoorwaarden op het moment dat je een account aanmaakt natuurlijk. Ik denk niet dat ze in het multimediasysteem van de auto zelf zaten, maar op een cloudaccount vanwaaruit de auto bedient kan worden middels een API koppeling.

Het is wel zorgelijk dat medewerkers blijkbaar bij de data kan komen terwijl die niet geanonimiseerd is.

Ruw ER 24 januari 2025 11:12

Ik rij nu nog in 3 oude auto's (1993, 2006, 2008), maar als ik overga op een modern ding, dat wordt simkaartje eruit slopen oid. Ik wil helemaal niet dat mijn auto dit soort info verzendt.

CPV @Ruw ER • 24 januari 2025 11:25

Dat mag niet. Het systeem is verplicht in auto's vanaf een bepaald jaar, 2016 geloof ik.

The Zep Man

Beveiliging en antivirus

@CPV • 24 januari 2025 11:37

Het is verplicht bij verkoop. APK controleert niet op een goede werking. Als de auto geen foutmelding geeft, kan je dus prima zonder rijden.

Vergelijk het met airbags. Nieuwere auto's worden in een APK afgekeurd als het airbagsysteem een fout geeft. Als je bijvoorbeeld een eigen stoel installeert en de airbagaansluiting afdopt d.m.v. een weerstand, dan zal het systeem geen foutmelding geven over de missende airbag. Daarmee komt die gewoon de APK door.

[Reactie gewijzigd door The Zep Man op 24 januari 2025 11:42]

Dennisdn @The Zep Man • 24 januari 2025 12:06

Vanaf 20 mei 2023 wordt voor een voertuig met een eCall-boordsysteem dat niet voldoet geen keuringsrapport afgegeven (en mag dus niet met het voertuig worden gereden) totdat het eCall-boordsysteem weer voldoet. De eigenaar of houder van het voertuig is dus verplicht het eCall-boordsysteem te laten maken.

https://zoek.officielebek...teem%20te%20laten%20maken.

The Zep Man

Beveiliging en antivirus

@Dennisdn • 24 januari 2025 12:11

Om legaal te rijden moet het systeem dus werken. Bedankt voor het opzoeken daarvan!

Voor burgers en bedrijven zal deze wijziging niet tot extra kosten voor de APK leiden, aangezien er in de uitvoering van de APK (vrijwel) niets verandert.

Dus zolang het systeem niet rapporteert dat er een probleem is, zal er (onterecht) een keuringsrapport afgegeven worden.

Nog steeds blijft het probleem bestaan dat auto's veelal langer meegaan dan generaties mobiele netwerken. Ik ben benieuwd wat voor effect dit heeft in de toekomst.

[Reactie gewijzigd door The Zep Man op 24 januari 2025 12:12]

Dennisdn @The Zep Man • 24 januari 2025 12:13

Dan doelen ze op de kosten van de APK zelf, niet op eventuele verplichte reparaties die eruit voorkomen.

The Zep Man

Beveiliging en antivirus

@Dennisdn • 24 januari 2025 12:23

Het gaat erom dat als er geen extra kosten gemaakt worden voor de APK (voor burgers en bedrijven), dat dit zeer waarschijnlijk een controle betreft die in een bestaand proces valt. Dus aansluiten diagnostische computer -> geen error -> prima.

Dennisdn @The Zep Man • 24 januari 2025 12:28

Dus geen E-call actief in een auto waar dat wél in hoort te werken = error, geen keuringsrapport, niet meer rijden totdat het gerepareerd is.

SterkeYerke @Dennisdn • 24 januari 2025 12:41

Dat denk ik niet. Als je het netjes uitschrijft, geeft het geen foutmelding. De auto denkt immers dat het er niet op hoort te zitten.

The Zep Man

Beveiliging en antivirus

@SterkeYerke • 24 januari 2025 13:20

Klopt. Een auto hoeft geen foutmelding te rapporteren ondanks dat er iets fout is. Er zijn voldoende voorbeelden daarvan te bedenken. Een andere stoel zonder airbag is een legitiem voorbeeld. Je komt door een APK heen en mag de weg op in een auto met een andere stoel, zolang het airbagsysteem maar geen foutmelding geeft in een moderne auto. Jij of je garage moeten er dus voor zorgen dat er geen foutmelding wordt gerapporteerd.

Met eCall is dat dus anders. Dat moet aanstaan, maar de controle daarop is hetzelfde als de controle van een airbagsysteem. Ik ben ervan overtuigd dat het mogelijk is om eCall uit te schakelen zonder dat de auto dit rapporteert en dat je gewoon door een APK komt. Of dat handig is en wat de verdere gevolgen zijn (zoals verzekering bij een ongeluk) is iets anders. Aan de andere kant denk ik dat bij de meeste ongelukken eCall geen factor is, gezien het pas na een aantal jaar na verplichte invoering een keer van pas kwam in Nederland.

[Reactie gewijzigd door The Zep Man op 24 januari 2025 14:45]

Fireshade @The Zep Man • 24 januari 2025 15:40

Jij of je garage moeten er dus voor zorgen dat er geen foutmelding wordt gerapporteerd.

Is dat dan niet illegaal, of tegen de geest van de regelgeving? Een beetje zoals het omzeilen van een test zoals bij Dieselgate (waar dat door software gedaan werd).

Er zullen ook auto's bestaan die dat standaard wel uitlezen en afwijkingen dus ook aangeven bij diagnose output?

Een andere stoel zonder airbag is een legitiem voorbeeld. Je komt door een APK heen en mag de weg op in een auto met een andere stoel, zolang het airbagsysteem maar geen foutmelding geeft in een moderne auto.

Bepaalde zaken zijn toch verplicht voor auto's vanaf bepaalde productiejaren? Dat de APK dat niet test doet er niet toe, denk ik.
Stel dat je een ongeluk krijgt en je belandt in het ziekenhuis vanwege de ontbrekende airbag. Leuk voor de verzekeringen.

[Reactie gewijzigd door Fireshade op 24 januari 2025 15:44]

The Zep Man

Beveiliging en antivirus

@Fireshade • 24 januari 2025 18:02

Is dat dan niet illegaal, of tegen de geest van de regelgeving? Een beetje zoals het omzeilen van een test zoals bij Dieselgate (waar dat door software gedaan werd).

Illegaal voor wat? Een stoel vervangen mag. Of hoe denk je dat anders met speciale stoelen voor mensen met beperkingen wordt omgegaan?

De reden dat een airbagsysteem geen foutmelding mag geven bij het verwijderen van een airbag is dat je nog steeds wilt weten dat de andere airbags goed werken. Juridisch is dat het makkelijkst af te vangen met "geen foutmelding".

koppie @Dennisdn • 24 januari 2025 12:40

Yep, totdat een deel van 3G of 4G uit de lucht gaat, of naar een andere frequentie. Is dat dan ook een probleem van de gebruiker, garage of fabrikant? Echt heel goed over nagedacht!

dream1900 @koppie • 24 januari 2025 17:22

Volgens de fabrikant niet het probleem van de fabrikant:
https://support.lexus.com...G-Wireless-Services-10537

Safety Connect® services were discontinued as of November 1, 2022. As of that date, Automatic Collision Notification, Enhanced Roadside Assistance, Emergency Assistance Button and Stolen Vehicle Locator are no longer available. There are no available retrofit options.

koppie @dream1900 • 24 januari 2025 20:55

Nee, maar dat is voor auto's van voor 2018, en dus niet APK-afkeur krijgen als het niet werkt.

In je link staat ook niets over mogelijke aansprakelijkheid als je voertuig niet meer aan de typegoedkeuring voldoet en dus niet meer de weg op mag.

chris1508 @koppie • 26 januari 2025 14:13

Type goedkeuring en APK zijn twee verschillende dingen. tenzij er in het wetboek staat zoiets als, zoals de fabrikant het heeft bedoelt, houd de apk zijn eigen controle regels er op na.

een simpel voorbeeld is, een achterlicht van een auto heeft 9/10 x een type goedkeuring met ingebouwde reflector. maar niks weerhoud mij er van om aftermarket verlichting in te bouwen en plak reflectoren te monteren. op beide onderdelen zit geen type goedkeuring. maar functioneert wel volgens de apk

[T]yphoon @The Zep Man • 24 januari 2025 17:37

M.a.w. sim kaart eruit, 1tje zonder data erin stoppen
en als het een e-sim is dan zal je het via de software kunnen blokkeren

necessaryevil @Dennisdn • 24 januari 2025 12:54

Wat zijn we toch een eng big-brother land aan het worden Daarnaast is al die technische onzin erg vervelend voor de occasion-rijder, die alles werkend moet houden. Een ander voorbeeld is de automatische meting van de bandenspanning. De batterijen schijnen erg vaak te sneuvelen, nou dan mogen de banden er af, kost je ook weer een paar tientjes per band....

En los daarvan heb je ook nog niet-overheidsdingen die stervensduur zijn. Led-koplampunit kapot? Die kosten 1000 euro, een wat oudere auto is dan gelijk total-loss.

bzzzt @necessaryevil • 24 januari 2025 13:07

Een ander voorbeeld is de automatische meting van de bandenspanning. De batterijen schijnen erg vaak te sneuvelen, nou dan mogen de banden er af, kost je ook weer een paar tientjes per band....

Dat is een keuze geweest van de fabrikant. Die van mij meet de spanning via de ABS sensoren en heeft daardoor geen batterijtjes nodig.

En los daarvan heb je ook nog niet-overheidsdingen die stervensduur zijn. Led-koplampunit kapot? Die kosten 1000 euro, een wat oudere auto is dan gelijk total-loss.

Tsja, er is altijd een kans op total loss bij een oudere auto bij falen van een duur onderdeel. In de praktijk gaan die dingen alleen meestal levenslang mee. Voor een oudere auto is nieuw misschien ook minder belangrijk, omwisselen voor een sloop/refurbished exemplaar is dan ook een optie.

[Reactie gewijzigd door bzzzt op 24 januari 2025 13:08]

merethan @bzzzt • 24 januari 2025 19:34

Voor een oudere auto is nieuw misschien ook minder belangrijk, omwisselen voor een sloop/refurbished exemplaar is dan ook een optie.

Bij o.a. nieuwe Mercedes zit zelfs dat (koplampen) cryptografisch aan elkaar. Men zegt om diefstal tegen te gaan. Maar effectief zet het onafhankelijke garages en iemand die gewoon even naar de sloop gaat buiten spel.

bzzzt @merethan • 25 januari 2025 08:21

Dat is wel gangbaar in duurdere auto's, maar vanuit de fabrikant biedt het de mogelijkheid te voorkomen dat er 'rommel' wordt ingebouwd in plaats van de officiële onderdelen. Als je wil dat fabrikanten verantwoordelijkheid nemen voor de kwaliteit moet je natuurlijk niet teveel half omgebouwde auto's op de markt hebben die vrijwel geen enkel origineel onderdeel meer bevatten.
Voor bezitters is het ook wel prettig dat onderdelen niet te eenvoudig te wisselen zijn: dergelijke auto's worden minder snel doelwit van bv airbag diefstal...

merethan @bzzzt • 27 januari 2025 15:48

Kies je luxe: Zeker weten dat iedereen teveel geld* heeft betaald maar altijd originele onderdelen gebruikt ongeacht welk exemplaar je koopt op de 2e hands markt, of gewoon zelf je auto kunnen repareren.

Als ik m'n luxe wil kiezen, kies ik de tweede. Want die tweede zou helemaal geen luxe moeten zijn, maar de norm in mijn ogen.

* Het is teveel geld omdat een fabrikant die dit doet effectief monopolist is in de markt van de levering, met vrijwel gegarandeerd het bijbehorende monopolisten-gedrag.

bzzzt @merethan • 27 januari 2025 17:48

Ik snap je argument, maar probeer alleen te nuanceren dat er ook nadelen aan kunnen zitten.
Zoals ik al noemde: diefstal is makkelijker, broddelen met rommel onderdelen die niet zo degelijk of veilig zijn verpest de tweedehands markt.

Daarnaast is het natuurlijk makkelijker onderdelen voor minder te maken als ze in een sweatshop zonder milieuregels in elkaar gezet worden. Persoonlijk vind ik dat het de norm moet zijn dat fabrikanten daar minstens op toezien (en dat is ook zo door wetten als de Corporate Sustainability Due Diligence Directive, al kunnen kleine bedrijven daar onderuit komen). Uiteindelijk vraag ik me dan af of je 'teveel' betaalt voor je spullen of te weinig omdat je foute fabrikanten steunt.

Zeerob @merethan • 25 januari 2025 09:54

Tjonge! Op die manier graaft de Duitse auto-industrie dus haar eigen graf.

necessaryevil @bzzzt • 28 januari 2025 08:26

Tsja, er is altijd een kans op total loss bij een oudere auto bij falen van een duur onderdeel.

Dat neemt niet weg dat het een slechte zaak is. Bovendien kan ik me weinig onderdelen indenken die zo kwetsbaar zijn als een koplamp en 1000 euro kosten. Op moderne auto's komt een turbo misschien in de buurt, alhoewel dat ook goedkoper kan.

Zeekr001 @necessaryevil • 24 januari 2025 13:28

"Vroeger was alles beter..."

Toen reden we gewoon op slappe banden, zoals echte mannen en hadden we hypermoderne gloeilampen in onze auto's zitten, op 6Volt... Dat waren nog eens tijden.

nightgold @Zeekr001 • 24 januari 2025 15:10

Die gloeilampen verblindden me tenminste niet als het donker en regenachtig is/was

hellum @Zeekr001 • 24 januari 2025 15:25

"Vroeger was alles beter..."

Niet per se, wel een stuk eenvoudiger en daardoor makkelijker en goedkoper te repareren. Veel voordelen zijn ook nog eens discutabel.

Een groot touchscreen in auto's werkt afleidend. Je moet er naar kijken om het te kunnen bedienen
Moderne LED koplampen verblinden tegenliggers wanneer ze niet perfect zijn afgesteld. Ook hebben ze veel meer electronica nodig om uberhaupt te werken.
Vaak hebben onderdelen codes waardoor ze niet onderling uitwisselbaar zijn
IOT functies zoals het openen op afstand zet de deur open voor hackers

dimdek @necessaryevil • 25 januari 2025 13:42

Wat ook gevaarlijk is voor de occasionrijder is: na de aanschaf van een auto moet de nieuwe eigenaar contact opnemen met de importeur/producent om aan te geven dat de vorige eigenaar geen controle meer mag hebben over het voertuig (dat wordt niet geregeld als de auto wordt overgeschreven naar een andere eigenaar). Die persoon moet dan ontkoppels worden van het voertuig, anders kan de vorige eigenaar nog rechten hebben om via zijn app de auto op te sporen en te openen. Dit verhaal heb ik een paar weken terug van Jeep mogen horen.

moonlander @The Zep Man • 24 januari 2025 11:49

Het is dan natuurlijk wachten op: als de monteur de gegevens niet kan uitlezen via de cloud, dan is er geen verbinding en kan er dus niet een apk verleent worden.

The Zep Man

Beveiliging en antivirus

@moonlander • 24 januari 2025 11:53

Het is dan natuurlijk wachten op: als de monteur de gegevens niet kan uitlezen via de cloud,

Ik denk dat je daarvoor nog lang kan wachten, want ik zie niet niet elke APK-garage aangesloten worden op een dergelijk systeem.

En je gaat sowieso met een verplichte uplink problemen krijgen omdat er nu al auto's zijn die geen verbinding kunnen maken via 2G of 3G. Niemand wil die kosten dragen en voor de overheid is het niet belangrijk genoeg om er een klap op te geven, dus daar gaat niets tegen gedaan worden.

[edit]
I stand corrected. Zie de reactie van @Dennisdn.

[Reactie gewijzigd door The Zep Man op 24 januari 2025 12:11]

TheVivaldi @CPV • 24 januari 2025 11:42

Nuja, mag niet… het is niet alsof de politie daar actief onderzoek naar doet of zo. Die gaan achter overtreders aan die ze zien overtreden, zoals hardrijders, roodlichtnegeerders, foutparkeerders, etc. Ik heb nog nooit gezien dat een agent dacht: hmm, de simkaart zal er wel uitgesloopt zijn, even een boete uitschrijven.

bzzzt @TheVivaldi • 24 januari 2025 13:09

Mogelijk dat de verzekering het wel interessant vindt na een ongeluk. Moedwillig je auto aangepast hebben dat die niet door de APK komt klinkt als een reden om minder tot niets uit te keren.

TheVivaldi @bzzzt • 24 januari 2025 18:15

Dat kan zeker, maar de verzekeraar gaat je geen boete geven daarvoor, want daar zijn zij niet toe bevoegd. Het ging hierboven over “niet mogen”, maar dat is wat anders dan “de verzekeraar vindt het niet goed”.

bzzzt @TheVivaldi • 25 januari 2025 08:17

"De verzekeraar keert niet uit" is mogelijk financieel nog veel nadeliger dan een boete...

TheVivaldi @bzzzt • 25 januari 2025 10:50

Dat zal ongetwijfeld zo zijn, maar dat is gewoon niet waar het over ging… Maar goed, laat ook maar.

telenut @bzzzt • 25 januari 2025 13:08

verzekering mag enkel weigeren uit te keren als de oorzaak relevant is... Verwijderen van een airbag bijvoorbeeld. Verwijderen van een simkaart zal geen geldig excuus zijn.
Tenzij de hulpdiensten daardoor niet tijdig werden ingelicht... enfin, er moet een oorzakelijk verband zijn.

brecht_vb @CPV • 24 januari 2025 12:10

Dat is om de hulpdiensten te bellen bij een ongeval.

Sommige auto’s hebben dan ook sensoren om het aantal inzittenden te tellen, en geven dat ook door.

rvt1 @CPV • 24 januari 2025 13:19

Volgens mij moet er dacht ik wel een 'black box' in de auto zitten, maar deze hoeft toch niet 'connected' te zijn?

marcovit @Ruw ER • 24 januari 2025 11:17

Totdat het een e-sim is

habbekrats @marcovit • 24 januari 2025 11:21

Antenne saboteren,

en dan afwachten tot op een dag de auto niet start, sorry no internet connection available.

[Reactie gewijzigd door habbekrats op 24 januari 2025 11:22]

watercoolertje @habbekrats • 24 januari 2025 11:24

en dan afwachten tot op een dag de auto niet start, sorry no internet connection available.

Ja dat is een goede feature in landen waar het netwerk niet 100% dekkend is of je in een garage staat

TheVivaldi @watercoolertje • 24 januari 2025 11:40

Ook in Nederland is het netwerk niet 100% dekkend. Stel dat je hier een blind spot in rijdt, je auto daar parkeert en weer weg wilt rijden, dan heb je ook een probleem.

locke960 @watercoolertje • 24 januari 2025 11:52

Dat is de reden dat de auto een verbindingsprobleem eerst een week negeert, om daarna elke keer als je weg wilt rijden een kritische servicemelding te laten zien die je weg moet klikken, maar dat kan pas na minimaal 30 seconden verplicht wachten.

En als je dat dan langer dan een paar weken, of een bepaald aantal keren wegrijden, negeert, dan pas rijd de auto niet meer.

[Reactie gewijzigd door locke960 op 24 januari 2025 11:54]

MRoubos @habbekrats • 24 januari 2025 11:58

Of je mag de auto niet bedienen of uitzetten vanwegen een update.

Dauthi @Ruw ER • 24 januari 2025 11:58

Dit helaas.
Bouwkwaliteit van moderne auto's is steeds minder, planned obsolescence steeds groter, het verkrijgen van onderdelen en het vervangen/installeren van onderdelen steeds moeilijker. En dat zit je auto ook nog vol privacyschendende mechanismes, die ongevraagd je data delen met fabrikant en verzekeringsmaatschappijen en je auto inbraak gevoeliger maken.

Het is geen wonder dat moderne auto's zo snel zoveel in waarde verliezen.

Ruw ER @Dauthi • 24 januari 2025 14:01

Jup. Ik wil gewoon een simpele auto. Kijk mijn kia uit 2008. Atmosferische 2.0, cruise en climate control, handgeschakelde 6 bak. Elektrische ramen erbij, veel meer heb ik niet nodig. Ding is super goed gebouwd, motor is op basis van de oude 4g63 van mitsubishi, super goed, andere onderdelen zijn ook legio te verkrijgen omdat een hoop ook gewoon parts bin zooi is die in veel meer modellen zit. Dus als er iets kapot is, simpel te repareren.

Ik heb hierin wel een scherm gebouwd met android auto, klinkt misschien tegenstrijdig, maar dit loopt volledig via mijn telefoon. De auto zelf deelt niks. Of ik nu navigeer met mijn telefoon of mijn android auto, dat is hetzelfde qua data. En mijn auto en navi systeem zijn op geen enkele manier aan elkaar gekoppeld. En dat wil ik graag zo houden. Ik wil binnen een paar jaar een EV kopen, wordt uitzoeken wat de allersimpelste EV is. Zodat die ook gewoon gefixed kan blijven worden zonder al te veel gezeur. Zag van de week een video van een youtuber, garbage time, had een VW polo uit 2016. En niemand kon er achter komen waarom de auto zo slecht liep. Garagisten niet, en zijzelf niet. Ik ga nooit aan zo'n veel te complexe en fragiele downsize turbo motor, veel te veel potentiele problemen.

Scriptkid @Ruw ER • 24 januari 2025 12:00

leuk,

Dan snap je EMS niet meer hoever je auto is geladen en kun je overstappen op DOM laden van je auto ,

Kan ook maar niet handig,

wernert @Ruw ER • 24 januari 2025 12:16

@Ruw ER "Slimme" functies blokkeren? Da's niet de bedoeling. Dan gebruiken we wel de eCall-verbinding en levert sabottage een APK-afkeur op.

Luchtbakker @Ruw ER • 24 januari 2025 12:22

Sterkte, het is esim dus daar kan je weinig uit slopen.

Rednas1992 24 januari 2025 11:13

De echte vraag is waarom moet een fabrikant van een auto toegang hebben tot al deze data 🤨🤨

evers97 @Rednas1992 • 24 januari 2025 11:21

- Ze delen veel informatie met verzekeringen (weet niet of dit ook niet in NL gebeurt, denk het niet).
- Om metrics te verzamelen voor product verbetering
- Om je data te verkopen zodat ze je auto goedkoper kunnen verkopen met als catch dat je data verkocht wordt voor bijvoorbeeld advertenties (Als je langs een McDonalds rijdt toevallig een advertentie krijgen erover of als je een ongeluk hebt gehad een advertentie van een letselschade advocaat)

kujinshi @evers97 • 24 januari 2025 11:54

Metrics over product verbetering, daarvoor hoef je geen rijritten te registreren. Ook een auto hoeft helemaal niet elektronisch op afstand geopend te worden, ooit. Die opties hadden er nooit in mogen zitten.

Subaru maakt hier eerst een grote fout zelf. Door de graaicultuur te volgen.

batjes @kujinshi • 24 januari 2025 12:41

Recent nog dat die ontplofte Cybertruck doodleuk op afstand ontgrendeld wordt op verzoek van de heer Musk.

Ergens snap ik het in zulke situaties wel, maar dat die mogelijkheid uberhaupt bestaat... Het is dus een bruikleen auto waar je wel alle verantwoordelijkheden voor op je nek krijgt, maar niet het volledige eigendom wat daar normaal bij komt kijken.

Soms wel blij met mijn 20 jaar oude gebakje.

david-v

@kujinshi • 24 januari 2025 14:08

Ook een auto hoeft helemaal niet elektronisch op afstand geopend te worden, ooit. Die opties hadden er nooit in mogen zitten.

Ik gebruik deze optie niet dagelijks maar is wel heel handig. Ik hoef dan niet de sleutels me te geven aan de kinderen als ze iets in de auto vergeten zijn of als ze alvast de sporttassen in de auto willen doen.

Geen wereld probleem uiteraard maar ik vind dat wel een hele handige functionaliteit.

Teun! @david-v • 24 januari 2025 17:37

Ik denk dat veel mensen het ook geen probleem vinden dat de optie er is, maar miaschien wel dat het 1) niet uit te zetten is, en 2) door de fabrikant (of hackers dus) op afstand gedaan kan worden. (Eventueel 3, dat er een proprietary app voor nodig is die ook weer data verzameld)

Cobalt @Rednas1992 • 24 januari 2025 11:32

GM auto's hebben OnStar services. Deze trackt de locatie. Voor navigatie, weghulp assistence, anti-diefstal service, noodhulp calls. Dit systeem bestaat al sinds 1996. En andere merken hebben hun eigen system. Bij VW isdat Car-Net

LordSinclair @Cobalt • 24 januari 2025 18:02

En sinds Opel door Peugeot is overgenomen, je raadt het al, werkt dit systeem niet meer in Opels.. Dus weg functionaliteit.

Frame164 @Rednas1992 • 24 januari 2025 11:23

Een hele praktische: voor ons is het nooit een probleem om even naar een garage te gaan als er problemen zijn. Zelfs als je auto niet meer rijdt kan je buurman je er nog wel heen slepen. In andere landen komt het voor dat een garage met de nodig apparatuur ver weg zit. Dan is het handig om er remote bij te kunnen voordat je een ophaalwagen stuurt.

TheVivaldi @Frame164 • 24 januari 2025 11:38

Maar dan moet je het wel goed afschermen. Eneco doet dat bijvoorbeeld met Toon: je moet op de Toon zelf uitdrukkelijk aangeven dat je Eneco toegang wilt verlenen.

eborn @Frame164 • 24 januari 2025 11:55

Slepen is tegenwoordig ook steeds lastiger, want automaten en EV's mag je niet slepen. Die moeten echt op de oplegger.

Bamieater 24 januari 2025 11:06

Binnen een dag opgelost is ook een snelle reactietijd. Andere bedrijven negeren het probleem regelmatig, of laten het maanden liggen. Als Subaru rijder ervaar ik ook de uitstekende Japanse service om kwaliteit te bieden, tot aan een bloemetje en persoonlijk excuus na serieuze motorproblemen met een nieuwe auto.

DjoeC @Bamieater • 24 januari 2025 11:18

Eigenlijk bijzonder dat Subaru deze hackpogingen niet heeft opgemerkt. Zou zou het "omzeilen" van TFA/MFA toch onmiddellijk een rode vlag moeten opleveren?

Kevinns

@DjoeC • 24 januari 2025 11:40

Als de MFA zo makkelijk kan worden omzeild, dan is dat soort monitoring waarschijnlijk ook niet aanwezig...

Frame164 @Bamieater • 24 januari 2025 11:24

De marketing werkt in ieder geval goed aangezien ze jou hebben laten geloven dat het echt in een dag is opgelost en uitgerold.

uiltje @Bamieater • 25 januari 2025 03:42

Als de beveiliging afhangt van de JavaScript bestanden die in de browser wordt geladen dan gaat er toch iets fundamenteel mis. Snel gefixed misschien, maar als dit representatief is voor de veiligheid...

vickypollard 24 januari 2025 11:07

Daarin zat een resetPassword.json-endpoint waarmee een aanvaller zonder token een account kon resetten, op basis van het e-mailadres van een werknemer. Opvallend is dat de onderzoekers de multifactorauthenticatieprompt wisten te omzeilen door die simpelweg uit de gebruikersinterface te verbergen.

Dit klinkt ook echt wel weer amateur hour hoor...

eborn @vickypollard • 24 januari 2025 11:53

Tja, dat zal de komende jaren alleen maar gaan toenemen nu dankzij ChatGPT iedereen een developer is. Ik zie ook genoeg mensen in mijn omgeving die lekker aan het appen geslagen zijn. Dat is vooral nog privé, maar een komt een moment dat dit ook zakelijk gebruikt gaat worden.

Ik wil niet beweren dat geschoolde ontwikkelaars het altijd beter doen, maar als de de drempels verlaagt moet je wel actief blijven sturen op kwaliteit.

HitDyl @vickypollard • 24 januari 2025 12:01

Dat is het ook. Ik ben erg benieuwd wie dit in opdracht van Subaru ontwikkelt. Ik vermoed dat ze dit namelijk niet in-house doen. Ik heb helaas al te vaak gezien dat grote serieuze bedrijven met weinig IT affiniteit dit soort ontwikkelingen outsourcen aan toko's die zeer professioneel overkomen maar dit soort troep opleveren. Vervolgens is het wachten op de problemen en dan wordt alles eigenlijk maar een beetje trial en error opgelost (tegen een riant uurtarief natuurlijk). Het zou eens tijd moeten worden dat dit soort bedrijven hier ook verantwoordelijk voor worden gehouden.

bewerkers 24 januari 2025 11:10

Auto hoort überhaupt niet aan het internet verbonden te zijn. Er zijn fundamentele fouten gemaakt.

kiang

@bewerkers • 24 januari 2025 12:02

100% mee eens. Net daarom ben ik zo'n fan van CarPlay/Android auto: het hele infotainment gebeuren (dat is net waar je wel internet wilt) wordt gedraaid op je telefoon, maar dan wel mooi geïntegreerd in de auto.

Ik heb nu nog een tweedehandsauto uit 2011, ik kijk er niet naar uit om ooit een nieuw model te kopen, want sinds 2015 of zo zijn fabrikanten steeds meer online shit in auto's beginnen bouwen die ze vervolgens slecht onderhouden, en alsnog een abonnement voor vragen.

multikoe @kiang • 24 januari 2025 12:13

wordt gedraaid op je telefoon

Iets met glijdende schaal....
Heb je je telefoon dan ook helemaal dichtgetimmerd? Ik neem aan dat je die gebruikt om te navigeren?

ggj87 @bewerkers • 24 januari 2025 11:13

Het zal alleen maar erger worden. De tweedehands markt zal over een jaar of wat bijna enkel dit soort auto’s hebben die oud zijn en online verbinding hebben. Wordt die software bijgehouden? Jammer, ik houd het liever bij ‘ouderwetse’ auto’s zonder internetverbinding.

TheVivaldi @ggj87 • 24 januari 2025 11:36

Wat mij betreft mag daar ook wel eens een campagne voor komen. Ik herinner me nog dat de overheid rond het einde van Windows XP ook een campagne hield; wat mij betreft moet dat voor niet-ondersteunde autosoftware net zo gelden, zeker als die software wel nog aan het internet hangt.

3dfx @TheVivaldi • 25 januari 2025 08:41

Welke campagne was dat dan? Ik kan me alleen herinneren dat ze zelf hun zaakjes niet op tijd geregeld hadden en men Microsoft grote zakken met geld gaf om toch XP nog te kunnen blijven gebruiken...

nieuws: Nederlandse overheid betaalt nog 1,7 miljoen euro voor Windows XP

nieuws: Rijksoverheid heeft nog altijd 5000 computers met Windows XP

nieuws: Gemeente Amsterdam betaalt 200.000 euro voor extra Windows XP-onderst...

bewerkers @ggj87 • 24 januari 2025 13:22

Een garage zou ook een update kunnen uitvoeren. En bij een cruciale update moet er gewoon een recall komen. Dus niet aan internet hang betekent niet dat het niet geüpdatet kan worden.

CrownVictoria @bewerkers • 24 januari 2025 11:17

Wat mij betreft mag het een Opt-In zijn. Er zijn genoeg handige features die je vanaf een app kan aansturen zoals vooraf opwarmen etc.

vDorst @CrownVictoria • 24 januari 2025 11:29

Ik zou graag zien dat het open was en/of dat je je eigen server/provider kan kiezen net als bij email.
De cloud van de fabriekkant gebruiken moet een keuze zijn, niet een verplichting.

Glenn85 @CrownVictoria • 24 januari 2025 11:34

Ja, maar hou het dan bij dat soort "luxe" functionaliteiten, maak het niet mogelijk om essentiële functies, zoals de lichten of claxon, via het internet te bedienen. Als die tijdens het rijden door een grappenmaker via internet worden bediend dan kan dat heftige gevolgen hebben voor de bestuurder.

Het ontgrendelen van de auto via internet kan ik nog wel het nut van in zien, maar toch zou ik dat liever niet willen hebben op mijn auto. Het lijkt mij toch vele malen veiliger om dat alleen mogelijk te maken indien er een directe "line of sight" verbinding met de auto is, niet via het internet.

[Reactie gewijzigd door Glenn85 op 24 januari 2025 11:36]

bewerkers @CrownVictoria • 24 januari 2025 13:25

Vooraf verwarmen zou ook op een timer kunnen. Geen telefoon nodig.

CrownVictoria @bewerkers • 24 januari 2025 16:38

Klopt, dat kon mijn BMW E65 uit 2001 ook al. (Althans, verkoelen dan hé).
Maar dat is wel statisch. Als je ritme niet hetzelfde is (9 tot 5 baan), is zo'n timer waardeloos.

@vDorst Helemaal eens.
Soms vraag ik mij ook af waarom ik de lampen of claxon van mijn BMW remote kan aansturen.
Wat is de toepassing daarvan? Op de sleutel zit ook een knopje om je lampen aan te zetten.
Het ontgrendelen van de auto op afstand vind ik wel een mooie feature.
Daarnaast vind ik het overzicht van mijn kilometers zeer prettig alsmede de koppeling van de navigatie naar IDrive in de auto zelf.
Dat de dealer je belt voor het maken van een afspraak omdat er een onderdeel onderhoud behoeft is ook best tof.

Kortom, voor en tegens

mugenmarco 24 januari 2025 11:02

Wat super dat de goede hackers hier achter zijn gekomen, vraag mij echter af of een slechte hacker dit al eerder had ontdekt en er misbruik van had gemaakt.

alexbl69 @mugenmarco • 24 januari 2025 11:05

Ga er maar van uit dat als een goede hacker dit openbaar maakt, er ook al slechte hackers zijn die het exploiten zonder het te openbaren.

watercoolertje @alexbl69 • 24 januari 2025 11:15

Ik ga er van uit dat die kans bestaat, maar meer niet.

alexbl69 @watercoolertje • 24 januari 2025 11:22

Je moet er (in mijn optiek) bij het ontwerp er al vanuit gaan dat alles wat gehacked kan worden, ook gehacked zal worden.

Ergo: de mogelijkheid om auto's op afstand te ontgrendelen en te starten zou er helemaal niet in moeten zitten, omdat je er vanuit moet gaan dat als de mogelijkheid er is, deze ook misbruikt kan/zal gaan worden.

gimbal @alexbl69 • 24 januari 2025 11:41

Ik zou er gewoon van uitgaan dat dit ook gedaan wordt.

Maar dat verandert niets, met de beste wil in de wereld word je niet goed genoeg om letterlijk alles waterdicht te maken, er zijn niet genoeg uren in de dag om bekwaam te zijn in je werk, bij te blijven EN ook nog eens zelf een superhacker te zijn zodat je weet hoe alle gaten niet alleen te dichten, maar ook te vinden. Vooral niet in onze samenleving van extreme kosten besparing waar overal de kantjes opgezocht wordt.

En die extreme kostenbesparing... zal er ook toe leiden dat er niet geïnvesteerd wordt in periodieke penetratietesten en externe audits. Om maar iets te noemen.

centr1no @alexbl69 • 24 januari 2025 12:48

Je moet er bij het ontwerp vanuit gaan dat als je niet wilt dat het gehackt wordt je ook moet zorgen dat er geen gaten in je beveiliging zitten.
En in theorie is alles te 'hacken' en is het enkel een kwestie van hoever men daarin wil gaan.

Je 'ergo' is absurd. Volgens die redenering mag er niets online, via een extern netwerk beschikbaar zijn.
Er zijn redenen waarom die Starlink functionaliteit er is en net als met alle andere services moet dat gewoon afdoende beveilig worden zodat de kans dat er misbruik van gemaakt wordt minimaal wordt.

jaapzb @watercoolertje • 24 januari 2025 11:20

Praktisch gezien zit daar geen verschil in

TheVivaldi @watercoolertje • 24 januari 2025 11:35

Inderdaad. Al was het maar omdat Subaru niet het best verkochte merk is. Oké, ook zeker niet het slechtst verkochte, maar ze staan niet in de top 5 best verkochte automerken in de VS. Ik denk dat minstens 95% van de hackers zich op de top 5 zal richten, om zo hun kansen te vergroten.

OverSoft 24 januari 2025 11:23

Sowieso lijkt de beveiliging van veel legacy automakers achter te lopen.

Zo heeft het BMW Connected Drive platform niet eens ondersteuning voor 2-factor authentication.
Terwijl je met de app wel de auto kunt ontgrendelen, ramen open kunt doen, locatie op kunt vragen, zelfs 360 graden camera foto's kan doorsturen van waar de auto nu is.

Lijkt mij op z'n minst gezegd een ernstig beveiligingsgebrek.

themadone @OverSoft • 24 januari 2025 12:59

Je bedoelt 2 factor om in te loggen in de app? Volgens mij kan je die app alleen activeren als je met je sleutel in de auto zit. Moet er niet aan denken om iedere keer als ik in de ochtend de kachel aan wil zetten eerst weer even fijn langs een 2 factor te moeten.

OverSoft @themadone • 24 januari 2025 13:14

Je kan het hele account niet afgrendelen met two factor authentication.
Als je eenmaal de auto aan je account hebt gekoppeld, kan je gewoon met een ander apparaat inloggen (zonder 2-factor authentication dus) en je auto ontgrendelen. Daar heb je geen sleutel of fysiek toegang voor nodig.

Daarnaast blijft je app natuurlijk gewoon ingelogged als je dat aan hebt staan. Ik neem aan dat je ook niet iedere ochtend je wachtwoord invoert?

[Reactie gewijzigd door OverSoft op 24 januari 2025 13:15]

themadone @OverSoft • 24 januari 2025 13:14

Nee ik log in met pincode of vingerafdruk in de app iedere dag.

OverSoft @themadone • 24 januari 2025 13:17

Okee, maar daar heb ik het dus niet over.

Je account zelf (waar je auto dus aan gekoppeld is) heeft geen ondersteuning voor two-factor.
Ik kan op mijn apparaat als jou inloggen (bijvoorbeeld met gegevens verkregen uit een hack of data lek van een andere ontwikkelaar) en jouw auto ontgrendelen.

brammerd21 24 januari 2025 11:55

Een enge ontwikkelingen die in mijn beleving tot grote gevolgen kan leiden. Dat het nu een data-lek is, is misschien niet eens niet zo heel erg. Maar het feit dat overheid x je kan tracken, en zelfs je auto kan bedienen is toch grootste rode vlag die je maar kan bedenken? Elon die straks hier alle tesla's op range '0' zet, als we tegen een "democratisch gekozen" bestuurswissel van Groenland zijn.

Zo zal een land het vast niet inzetten, maar potientie genoeg. Bewijs maar eens dat klokkenluider X of journalist Y niet "zelf" uit de bocht is gevlogen. Het is echt te makkelijk.

Overigens laatst ook al een lek met Volkswagen:
nieuws: Gegevens van 800.000 elektrische auto's blootgesteld bij Volkswagen-lek

bartje @brammerd21 • 24 januari 2025 13:12

jij hebt het over overheid,
maar random medewerker X van subaru kan dit waarschijnlijk nu ook.
Dit is echt zo fout op alle levels,
Ik vraag me af hoe we nog veilig nieuwe auto's kunnen rijden.

Ayyylias 24 januari 2025 15:33

Kom hier even melden dat Subaru in de ordergrote van 600.000USD in deze propaganda heeft mee betaald

YouTube: Automotive Right To Repair Propaganda | Vote No on 1 Parking Garage

bron: https://www.ocpf.us/Filers?q=95471

Op dit item kan niet meer gereageerd worden.

Hackers konden locatie van Subaru-auto's in VS inzien en auto's ontgrendelen

Lees meer

Reacties (140)

Sorteer op:

Weergave: