Autohackers ontdekken kwetsbaarheden waarmee ze miljoenen auto’s zouden kunnen hacken

vr 17 februari 2023 11.00 uur

DRACHTEN - Hacken hoeft niet altijd een misdaad te zijn. Veel bedrijven en organisaties huren juist (ethische) hackers in om kwetsbaarheden in de online beveiliging op te sporen. Door de kwetsbaarheden te identificeren voordat cybercriminelen dat doen, blijven ze de vijand steeds een stapje voor. Bovendien zijn ze wettelijk verplicht om alle maatregelen te treffen die nodig zijn voor het beschermen van gegevens van anderen. Een grote hackersconventie in de VS leverde een aantal belangrijke inzichten op in de mate waarin moderne auto’s beveiligd zijn tegen hackpogingen.

Ethische hackers

Def Con 30 is een grote, internationale hackersconventie die al sinds 1993 georganiseerd wordt in Las Vegas. Gemiddeld komen er zo’n 30.000 deelnemers op af, waaronder cyberveiligheidsexperts, journalisten, juristen en natuurlijk hackers. Tijdens de laatste editie, gehouden in de zomer van 2022, werd onder meer de beveiliging van moderne auto’s onder de loep genomen. De auto’s van tegenwoordig lijken namelijk steeds meer op rijdende computers. Met behulp van ingebouwde software en apps kunnen we de auto laten voorverwarmen, onze favoriete muziek afspelen en de juiste route afleggen. Als deze software wordt gehackt door kwaadwillende hackers, dan zouden ze zomaar het remsysteem kunnen ontregelen, of je auto stelen. En die mogelijkheid bestaat nog veel te vaak, kwam naar voren uit een maanden durend onderzoek van een groep ethische hackers.

Ze hebben onder andere geprobeerd om de autoportieren te ontgrendelen, het chassisnummer te achterhalen en de airbags te bedienen. De airbags hebben ze niet kunnen manipuleren, maar op andere vlakken zijn ze behoorlijk wat wijzer geworden. Uiteindelijk konden ze ruim 20 kwetsbaarheden ontdekken in de systemen van verschillende grote automerken. Daaronder bevonden zich onder andere Porsche, Ferrari, Toyota, Ford en BMW. Vooral API’s, oftewel software-interfaces, vormden een groot veiligheidsprobleem. API is nodig om applicaties met elkaar te laten communiceren. Maar in plaats van dat autofabrikanten hun eigen software ontwikkelen, maken ze nog vaak gebruik van derde partijen. Hieronder volgen nog een paar van de belangrijkste aandachtspunten.

VIN

VIN is voertuigidentificatienummer. Het is ook wel bekend als het chassisnummer. Dit nummer heeft het RDW nodig om een kentekenbewijs af te kunnen geven. Met andere woorden: als hackers het VIN weten, dan kunnen ze de auto ook op hun eigen naam laten zetten. Verder kunnen ze de VIN misbruiken om valse schadeclaims in te dienen en om nieuwe kentekenplaten te laten maken.

Sleutelloos systeem

Zo’n 91% van alle auto’s die tegenwoordig verkocht worden, zijn uitgerust met de zogenaamde KeyFob-technologie. In plaats van met een ouderwetse autosleutel kun je de auto dan via een apparaatje ontgrendelen en starten. Het apparaatje bevat een RFID-chip die via antennes communiceert met het voertuig. Het kan een hacker maar een paar seconden kosten om een digitale sleutel na te maken en er met de auto vandoor te gaan. In 2021 lanceerde Tesla nog een nieuwe update waarmee Tesla-eigenaars de wagen konden ontgrendelen met een NFC-kaart. 130 seconden later kon de Tesla gestart worden. Maar in die 130 tussenliggende seconden was het voor hackers mogelijk om een nieuwe sleutel te genereren. Ook de sleutels van automerken Kia, Toyota en Hyundai konden eenvoudig door hackers gekloond worden. Het onderscheppen van de radiosignalen die de zogenaamde key fobs uitzenden is dan ook een lucratieve m.o. voor moderne autodieven.

Voorkomen

Hoewel autofabrikanten hun uiterste best doen om hun producten zo veilig mogelijk op de markt te brengen, kunnen niet alle risico’s worden uitgesloten. Daarbij speelt er ook een grote onderlinge concurrentie. Autofabrikanten proberen elkaar de loef af te steken door hun potentiële klanten steeds weer te bedienen met de nieuwste technische snufjes. Het mag dus niet te lang duren voor een idee gerealiseerd wordt. Gelukkig bestaan er ethische hackers die zich exclusief bezighouden met het opsporen van kwetsbaarheden. Hun onderzoeken en adviezen zijn dan ook van grote waarde voor autofabrikanten en worden zeker in overweging genomen bij toekomstige producties en updates.

Maar in de tussentijd met de autobezitter zich dus ook bewust blijven van de potentiële risico’s die alle gadgets met zich meebrengen. Hackers die van zins zijn om de digitale sleutel te klonen, zullen zich altijd in de nabijheid van de chip moeten bevinden. Anders is het voor hen niet mogelijk om het signaal te onderscheppen. Wees dan ook altijd alert op je omgeving. Daaronder valt ook de omgeving van je eigen woning.

Het verdient ook aanbeveling om de veiligheid van je eigen netwerken nog eens grondig onder de loep te nemen. De naam van je netwerk aanpassen en het standaardwachtwoord wijzigen is een kleine moeite en een grote stap vooruit. Als je je apps wel eens via een openbaar netwerk gebruikt, kun je eigenlijk niet zonder een Nederlandse VPN. Je voegt dan een extra beveiligingslaag toe aan al je internetverkeer.

Regelmatig updaten van alle hard- en software is eveneens een must. Bedenk dat iedere update belangrijke beveiligingsupdates bevat. Soms worden updates automatisch uitgevoerd, maar dat is niet altijd zo. Vraag je garagehouder of dealer ernaar.

Tot slot is het verstandig om je goed in te lezen voor je een nieuwe auto aanschaft. Lees de beoordelingen van andere autobezitters en hou eventuele nieuwsberichten over het merk in de gaten.