Als het gaat om het hacken van auto's, u zou zich meer zorgen moeten maken over onbetrouwbare dealers dan eenmalige hackers met criminele bedoelingen.

Hollywood wil ons doen geloven dat onze auto's extreem kwetsbaar zijn voor hackers. Een hacker logt op afstand in op de boordcomputer van een auto die wordt tentoongesteld in een showroom, waardoor de auto door het glas de straat op barstte – net op het nippertje om een ​​achtervolging te blokkeren.

En onderzoekers hebben enig succes gehad met het repliceren van een dergelijk scenario. in 2015, de krantenkoppen werden over de hele wereld gehaald toen beveiligingsonderzoekers een Jeep Cherokee konden hacken. Ze regelden alles op afstand, van ruitenwissers en airconditioning tot het vermogen van de auto om te accelereren. Uiteindelijk crashten ze de auto op een nabijgelegen dijk, hun experiment veilig beëindigen.

Als je alles zou geloven wat er sindsdien is geschreven, je zou denken dat we allemaal rondrijden in ongelukken die wachten om te gebeuren. In een oogwenk kan elke crimineel uw voertuig hacken, grijp de controle en dood iedereen binnen.

Hoewel deze dreiging kan bestaan, het is nog nooit in de echte wereld gebeurd - en het is aanzienlijk overhyped.

Auto's worden nu bestuurd door computers

De huidige motorvoertuigen zijn een ingewikkeld systeem van onderling verbonden elektrische subsystemen, waar traditionele mechanische verbindingen zijn vervangen door elektrische tegenhangers.

Neem het gaspedaal, bijvoorbeeld. Dit eenvoudige apparaat werd vroeger bestuurd door een fysieke kabel die was aangesloten op een klep op de motor. Tegenwoordig wordt het bestuurd door een drive-by-wire-systeem.

Onder een drive-by-wire-systeem, de stand van de gasklep wordt geregeld door een computer. Deze computer ontvangt signalen van het gaspedaal en geeft dienovereenkomstig instructies aan een kleine motor die is aangesloten op de gasklep. Veel van de technische voordelen worden door een typische consument niet opgemerkt, maar met dit systeem kan een motor soepeler lopen.

Een storing in het drive-by-wire-systeem was vermoedelijk de oorzaak van onbedoelde acceleratie in 2002 Toyota-voertuigen. De fout resulteerde in ten minste één dodelijk ongeval, in 2017, buiten de rechtbank om worden beslecht. Een analyse in opdracht van de Amerikaanse National Highway Traffic Safety Administration kon een softwarefout niet uitsluiten, maar vond significante mechanische defecten in pedalen.

Dit waren uiteindelijk fouten in kwaliteit, geen gehackte auto's. Maar het introduceert wel een interessant scenario. Wat als iemand uw gaspedaal zou kunnen programmeren zonder uw medeweten?

Hack de computer en je kunt de auto besturen

De ruggengraat van het moderne onderling verbonden voertuig van vandaag is een protocol dat een Controller Area Network (CAN-bus) wordt genoemd. Het netwerk is gebouwd volgens het principe van een master control unit, met meerdere slave-apparaten.

Slave-apparaten in onze auto kunnen van alles zijn, van de schakelaar aan de binnenkant van je deur, naar het daklicht, en zelfs het stuur. Deze apparaten maken invoer van de master-unit mogelijk. Bijvoorbeeld, de master unit kan een signaal ontvangen van een deurschakelaar en op basis hiervan een signaal naar het daklicht sturen om het aan te zetten.

Het probleem is, als u fysieke toegang tot het netwerk heeft, kunt u signalen verzenden en ontvangen naar alle apparaten die erop zijn aangesloten.

Hoewel u fysieke toegang nodig heeft om het netwerk te doorbreken, dit is gemakkelijk toegankelijk via een diagnostische poort aan boord die uit het zicht onder uw stuur is verborgen. Apparaten zoals Bluetooth, mobiel en wifi, die aan auto's worden toegevoegd, kan ook toegang verlenen, maar niet zo gemakkelijk als gewoon inpluggen.

Bluetooth, bijvoorbeeld, heeft slechts een beperkt bereik, en om toegang te krijgen tot een auto via Wi-Fi of mobiel heeft u nog steeds het IP-adres van het voertuig en toegang tot het Wi-Fi-wachtwoord nodig. De bovengenoemde Jeep-hack is mogelijk gemaakt door zwakke standaardwachtwoorden die door de fabrikant zijn gekozen.

Betreed de kwaadaardige monteur

Auto-hacks op afstand zijn niet bijzonder eenvoudig, maar dat betekent niet dat het oké is om je te laten verleiden tot een vals gevoel van veiligheid.

De Evil Maid-aanval is een term die is bedacht door beveiligingsanalist Joanna Rutkowska. Het is een simpele aanval vanwege de prevalentie van apparaten die onveilig zijn achtergelaten in hotelkamers over de hele wereld.

Het uitgangspunt van de aanval is als volgt:

• het doelwit is op vakantie of voor zaken met een of meer apparaten
• deze apparaten worden onbeheerd achtergelaten in de hotelkamer van het doelwit
• het doelwit gaat ervan uit dat de apparaten veilig zijn, aangezien zij de enige zijn met de sleutel van de kamer, maar dan komt de meid binnen
• terwijl het doel weg is, de meid doet iets met het apparaat, zoals het installeren van malware of zelfs het fysiek openen van het apparaat
• het doelwit heeft geen idee en wordt geschonden.

Als we deze aanval bekijken in de context van het CAN-busprotocol, wordt al snel duidelijk dat het protocol op zijn zwakst is wanneer fysieke toegang wordt verleend. Dergelijke toegang wordt verleend aan vertrouwde partijen wanneer we onze voertuigen laten onderhouden, als het uit ons zicht is. De monteur is de meest waarschijnlijke "meid".

Als onderdeel van een goede onderhoudsroutine zal uw monteur een apparaat aansluiten op de On Board Diagnostic (ODB) -poort om ervoor te zorgen dat er geen fout- of diagnostische codes voor het voertuig zijn die moeten worden opgelost.

Maar, wat zou er gebeuren als een monteur wat extra zaken nodig had? Misschien wilden ze dat je vaker terugkwam voor service. Kunnen ze uw elektronische remsensor programmeren om vroeg te activeren door een besturingsalgoritme te manipuleren? Ja, en dit zou resulteren in een kortere levensduur van uw remblokken.

Misschien kunnen ze een van de vele computers in uw voertuig aanpassen zodat deze meer kilometers registreert dan er daadwerkelijk worden gedaan? Of als ze wilden verbergen dat ze een rondje met je Ferrari hadden gereden, ze zouden de computer kunnen programmeren om de kilometerteller terug te draaien. Veel gemakkelijker dan de handmatige methode, die zo slecht eindigde in de film Ferris Bueller's Day Off uit 1986.

Dit zijn allemaal haalbare hacks - en uw monteur zou het nu kunnen doen.

Pleidooi voor verificatie en transparantie

Dit is geen nieuw probleem. Het is niet anders dan een tweedehands autodealer die een boormachine gebruikt om de snelheidsmeter terug te draaien om een ​​lagere kilometerstand te tonen. Nieuwe technologieën betekenen gewoon dat dezelfde trucs op verschillende manieren kunnen worden geïmplementeerd.

Helaas, er is weinig dat kan worden gedaan om te voorkomen dat een slechte monteur dergelijke dingen doet.

Beveiligingsonderzoekers richten zich momenteel op het verbeteren van de beveiliging achter het CAN-busprotocol. De waarschijnlijke reden dat er tot nu toe geen groot incident is gemeld, is dat de CAN-bus voor de beveiliging vertrouwt op zijn obscure implementatie.

Verificatie en transparantie kunnen een oplossing zijn. Een systeem, voorgesteld door onderzoekers van Blackhat, omvat een auditlogboek dat gewone mensen kan helpen bij het beoordelen van de risico's van ongeoorloofde wijzigingen aan hun voertuig, en de robuustheid van het systeem te verbeteren.

Tot dan, we zullen gewoon een vertrouwde monteur moeten blijven gebruiken.

Dit artikel is opnieuw gepubliceerd vanuit The Conversation onder een Creative Commons-licentie. Lees het originele artikel.