Zapp2Photo / Shutterstock
In de auto-industrie wordt veel gesproken over het “internet van voertuigen” (IoV). Dit beschrijft een netwerk van auto’s en andere voertuigen die gegevens kunnen uitwisselen via het internet in een poging om transport autonomer, veiliger en efficiënter te maken.
Het IoV zou voertuigen kunnen helpen bij het identificeren van wegversperringen, verkeersopstoppingen en voetgangers. Het zou kunnen helpen bij de positionering van een auto op de weg, het zou ze mogelijk in staat kunnen stellen om bestuurderloos te rijden en het zou de diagnose van storingen kunnen vergemakkelijken. Het gebeurt al tot op zekere hoogte met slimme snelwegen, waar technologie wordt gebruikt met de bedoeling om het snelwegverkeer zo effectief mogelijk te beheren.
Voor een geavanceerder IoV zullen nog meer sensoren, software en andere technologie in voertuigen en de omliggende weginfrastructuur geïnstalleerd moeten worden. Auto’s bevatten al meer elektronische systemen dan ooit, van camera’s en mobiele telefoonverbindingen tot infotainmentsystemen.
Sommige van deze systemen zouden onze voertuigen echter ook vatbaar kunnen maken voor diefstal en kwaadwillige aanvallen, omdat criminelen kwetsbaarheden in deze nieuwe technologie identificeren en uitbuiten. In feite gebeurt dit al.
Beveiliging omzeilen
Smart keys worden verondersteld moderne voertuigen te beschermen tegen diefstal. Een knop op de sleutel wordt ingedrukt om de startonderbreker van de auto uit te schakelen (een elektronisch apparaat dat ervoor zorgt dat de auto niet gestart kan worden zonder sleutel), waardoor er met de auto gereden kan worden.
Maar een bekende manier om dit te omzeilen vereist een handheld relaisgereedschap dat het voertuig laat denken dat de slimme sleutel dichterbij is dan hij is.
Hierbij werken twee mensen samen, de ene staat bij het voertuig en de andere dicht bij de plek waar de sleutel daadwerkelijk is, zoals buiten het huis van de eigenaar. De persoon bij het huis gebruikt het gereedschap dat het signaal van de sleutelhanger kan oppikken en het vervolgens doorgeeft aan het voertuig.
Relaisapparatuur om dit soort diefstal uit te voeren kan op internet worden gevonden voor minder dan £100, waarbij de pogingen vaak ’s nachts worden uitgevoerd. Om je hiertegen te beschermen, kun je autosleutels in Faraday zakken of kooien plaatsen die elk signaal dat door de sleutels wordt uitgezonden blokkeren.
Er wordt nu echter steeds meer gebruik gemaakt van een geavanceerdere methode om voertuigen aan te vallen. Het staat bekend als een “CAN (Controller Area Network) injectie aanval” en werkt door een directe verbinding te maken met het interne communicatiesysteem van het voertuig, de CAN bus.
De belangrijkste route naar de CAN-bus is onder het voertuig, dus criminelen proberen toegang te krijgen via de lichten aan de voorkant van de auto. Om dit te doen moet de bumper worden weggetrokken zodat een CAN-injector in het motorsysteem kan worden gestoken.
De dieven kunnen vervolgens valse berichten versturen die het voertuig laten geloven dat deze van de Smart Key afkomstig zijn en de startonderbreker uitschakelen. Zodra ze toegang hebben gekregen tot het voertuig, kunnen ze de motor starten en wegrijden.
Zero trust benadering
Met het vooruitzicht van een potentiële epidemie van voertuigdiefstallen, proberen fabrikanten nieuwe manieren om deze nieuwste kwetsbaarheid zo snel mogelijk te verhelpen.
Eén strategie houdt in dat berichten die door de auto worden ontvangen niet worden vertrouwd, een “zero trust approach” genoemd. In plaats daarvan moeten deze berichten worden verzonden en geverifieerd. Een manier om dit te doen is door het installeren van een hardware beveiligingsmodule in het voertuig, die werkt door het genereren van cryptografische sleutels die het versleutelen en ontsleutelen van gegevens mogelijk maken, het creëren en verifiëren van digitale handtekeningen in de berichten.
Dit mechanisme wordt steeds vaker door de auto-industrie in nieuwe auto’s geïmplementeerd. Het is echter niet praktisch om het in bestaande voertuigen in te bouwen vanwege de tijd en de kosten, waardoor veel auto’s op de weg kwetsbaar blijven voor een CAN-injectieaanval.
Het infotainmentsysteem van een auto kan een ander kwetsbaar punt zijn.
emirhankaramuk / Shutterstock
Aanvallen infotainmentsysteem
Een ander veiligheidsaspect voor moderne voertuigen is het boordcomputersysteem, ook wel het “infotainmentsysteem” genoemd. De potentiële kwetsbaarheid van dit systeem wordt vaak over het hoofd gezien, hoewel het catastrofale gevolgen kan hebben voor de bestuurder.
Een voorbeeld is de mogelijkheid voor aanvallers om “remote code execution” te gebruiken om kwaadaardige code naar het computersysteem van het voertuig te sturen. In een gerapporteerd geval in de VS werd het infotainmentsysteem gebruikt als toegangspunt voor de aanvallers, waardoor ze hun eigen code konden plaatsen. Deze stuurde commando’s naar fysieke onderdelen van de auto, zoals de motor en wielen.
Een aanval als deze heeft duidelijk de potentie om het functioneren van het voertuig te beïnvloeden en een crash te veroorzaken – dus dit is niet alleen een kwestie van het beschermen van persoonlijke gegevens in het infotainmentsysteem. Aanvallen van deze aard kunnen misbruik maken van vele kwetsbaarheden, zoals de internetbrowser van het voertuig, USB-dongles die zijn aangesloten, software die moet worden bijgewerkt om het te beschermen tegen bekende aanvallen en zwakke wachtwoorden.
Daarom moeten alle bestuurders van voertuigen met een infotainmentsysteem een goed begrip hebben van de basisbeveiligingsmechanismen die hen kunnen beschermen tegen hackpogingen.
De mogelijkheid van een epidemie van voertuigdiefstal en verzekeringsclaims alleen al door CAN-aanvallen is een beangstigend vooruitzicht. Er moet een evenwicht zijn tussen de voordelen van het internet van voertuigen, zoals veiliger rijden en een verbeterde mogelijkheid om auto’s terug te vinden als ze gestolen zijn, en deze potentiële risico’s.
Rachael Medhurst werkt niet voor, voert geen advies uit over, bezit geen aandelen in en ontvangt geen financiering van bedrijven of organisaties die baat hebben bij dit artikel en heeft geen relevante banden bekendgemaakt buiten haar academische aanstelling.
