Ethische hackers van Computest uit Zoetermeer hebben kwetsbaarheden ontdekt in het infotainmentsysteem dat wordt gebruikt in verschillende modellen van de Volkswagen Group. Zij kregen op afstand toegang tot het systeem waardoor de privacy van bestuurders ernstig kan worden geschaad. Zo kunnen kwaadwillenden in bepaalde situaties meeluisteren met gesprekken die de bestuurder via een carkit voert, de microfoon aan- en uit zetten en het volledige adresboek en de gespreksgeschiedenis inzien. Verder kan door de kwetsbaarheid via het navigatiesysteem exact worden achterhaald waar de bestuurder is geweest en kan men live volgen waar de auto zich op dat moment bevindt. Computest heeft het lek direct na de vondst gemeld bij de autofabrikant. De Volkswagen Group laat in een brief aan Computest weten dat de kwetsbaarheden inmiddels zijn opgelost.

Het onderzoek concentreerde zich op kwetsbaarheden in een Volkswagen Golf GTE en een Audi A3 Sportback e-tron beide met bouwjaar 2015. In deze auto’s zijn verschillende versies geïnstalleerd van een infotainmentsysteem van het merk Harman. De hackers waren in staat om zowel in de auto via onder meer een USB-stick, als op afstand toegang te krijgen tot de administratieve rechten van het systeem. Daardoor kregen zij de controle over de speakers, de microfoon en het navigatiesysteem. De geïdentificeerde kwetsbaarheden zijn softwarematig. Het is niet mogelijk om het specifieke type infotainmentsysteem op afstand te updaten.

Daan Keuper en Thijs Alkemade, security-specialisten en ethisch hackers bij Computest, ontdekten de kwetsbaarheden tijdens een researchproject. Zij zien een snelgroeiende hoeveelheid apparaten in huis, toepassingen in de gezondheidszorg en auto’s waaraan internetconnectiviteit wordt toegevoegd. Er is echter vaak geen eenvoudige manier om deze verbonden systemen te updaten. En aandacht voor de beveiliging hebben de gebruikers ervan doorgaans pas als het mis gaat. Omdat de specialisten van Computest zich dagelijks bezighouden met het verbeteren van de security van software, onderzochten zij welke risico’s internetconnectiviteit met zich meebrengt voor auto’s.

Onderzoek gestopt
De systemen waar Keuper en Alkemade toegang tot kregen zijn indirect verbonden met de systemen die ervoor zorgen dat je kunt remmen en gas geven. Hartger Ruijs, directeur en oprichter van Computest, besloot op dat punt het onderzoek te stoppen. “We geloven in de waarde van digitalisering en in de rol van de ethical hacker community bij het onderzoeken en aankaarten van de risico’s hiervan. Maar het moet wel verantwoord blijven. Als je de kwetsbaarheid van dit soort kritieke functies test ben je in feite illegaal bezig en maak je inbreuk op het intellectueel eigendom. Daar moet je echt heel voorzichtig mee omgaan. Zonder toestemming van de fabrikant doorgaan met het onderzoek was daarom voor ons geen optie”, zegt Ruijs.

De kwetsbaarheid in de systemen van de auto’s werpt niet alleen de vraag op welke zwakheden er nog meer zijn, maar ook hoe deze problemen moeten worden opgelost, aangezien de infotainmentsystemen in veel auto’s zijn geïnstalleerd. Auto’s die nog jaren op de weg te vinden zullen zijn en waarvoor geen updatemechanisme is.

“Internetconnectiviteit is een populaire functionaliteit in auto’s, maar brengt ook risico’s mee waarvan zowel de verantwoordelijke fabrikant als de betrokken bestuurder zich niet altijd bewust zijn”, zegt Daan Keuper. “Het grootste probleem zit hem daarbij vooral in de systemen van auto’s die al een aantal jaar op de markt zijn. Deze software wordt zelden geüpdatet. Daarmee zijn de systemen vrijwel altijd onvoldoende beveiligd. Als je ervan uitgaat dat een auto gemiddeld 18 jaar is als deze naar de sloop wordt gebracht, dan zijn er nog heel wat jaren waarin kwaadwillenden hier misbruik van kunnen maken.”

Modernisering update-beleid fabrikanten
Keuper pleit daarom voor een modernisering van het update-beleid door de automotive-industrie. “Het zou voor consumenten makkelijker moeten worden om de software-systemen in hun auto te updaten naar de laatste versie zodat zij altijd beschermd zijn tegen de nieuwste bedreigingen. Dus in plaats van zelf proactief om een update te vragen bij de dealer, zouden consumenten deze automatisch over-the-air gepusht moeten krijgen, op dezelfde manier als bij een laptop of smartphone. Dit betekent echter ook dat fabrikanten systemen moeten selecteren waarbij dit mogelijk is. Daarnaast moeten zij hun auto’s tijdens de gehele levensduur actief blijven ondersteunen met nieuwe updates.”

Computest heeft de Volkswagen Group enkele maanden geleden op de hoogte gesteld van de kwetsbaarheden. Ook is het rapport waarin het onderzoek en de kwetsbaarheden gedetailleerd worden geschreven, met de fabrikant gedeeld en geverifieerd. Vlak voor de publicatie van dit persbericht heeft Volkswagen Group een brief gestuurd aan Computest waarin de kwetsbaarheden worden bevestigd. In deze brief geven zij tevens aan dat de kwetsbaarheden zijn gefixed in een update van het infotainmentsysteem. Dit betekent dat auto’s die sinds deze update zijn geproduceerd de gevonden kwetsbaarheden niet meer bevatten. Het lijkt erop dat auto’s die voor deze tijd zijn geproduceerd niet automatisch worden geüpdatet tijdens een servicebeurt bij de dealer en dus nog kwetsbaar zijn.

Het volledige onderzoeksrapport, inclusief de brief van Volkswagen, en de beschrijving van de wijze waarop Computest het disclosure proces van de kwetsbaarheid naar Volkswagen heeft aangepakt, is hier te lezen.