Met internet verbonden auto's bevatten allerlei kwetsbaarheden die vooral via datanetwerken, zoals mobiele netwerken of wifi-netwerken, kunnen worden aangevallen. Daarvoor waarschuwen onderzoekers van het Amerikaanse beveiligingsbedrijf IOActive in een nieuw rapport (pdf). De onderzoekers waren de afgelopen drie jaar 16.000 uur bezig met het analyseren van de veiligheid van autosystemen. 

Hoeveel beveiligingslekken er zijn geanalyseerd wordt niet in het rapport duidelijk gemaakt. Wel valt 50% in de categorie "hoog" of "ernstig". Dit houdt in dat de kwetsbaarheden het mogelijk maken om onderdelen, communicatie of gegevens te compromitteren waardoor een bestuurder de controle over het systeem deels of volledig kan verliezen. Wordt er gekeken naar de mogelijkheden om een autosysteem aan te vallen dan zijn vooral netwerken een probleem. 39% van de gevonden kwetsbaarheden is namelijk via het autonetwerk aan te vallen. Het gaat dan bijvoorbeeld om ethernet- en webverkeer.

Ook aanvallen via mobiele netwerken (16%) vormen een risico. Zeventien procent kan alleen door een lokale aanvaller worden uitgebuit. "Op het eerste gezicht lijkt dit een onwaarschijnlijke aanvalsvector, maar gezien de beschikbaarheid van app stores en softwaremodules van derde partijen is deze aanvalsvector net zo belangrijk als netwerkgebaseerde aanvallen", aldus de onderzoekers. Een andere aanvalsvector die opvalt is usb (13%) zodra een besmette usb-stick in de auto wordt aangesloten kan de aanval worden uitgevoerd.

Als er naar het soort kwetsbaarheden wordt gekeken gaat het vooral om problemen die ook bij andere embedded-systemen voorkomen. Het gaat dan om programmeerfouten waardoor buffer overflows ontstaan, de aanwezigheid van vaste wachtwoorden en het gebruik van verouderde, onveilige softwarebibliotheken. Ook ontdekten de onderzoekers backdoors. Het gaat bijvoorbeeld om test-interfaces van ontwikkelaars die in de productiesystemen in de auto's achterblijven. Door te investeren in zaken als veilig programmeren, patchmanagement, het controleren en testen van code en andere best practices kunnen autofabrikanten alle gevonden problemen verhelpen. "De meeste beveiligingslekken in voertuigen zijn niet via "extra toevoegingen" te verhelpen, maar door het toepassen van goede ontwikkelmethodes, programmeerprincipes en andere best practices voor cybersecurity.

Alles bij de bron; Security