Wanneer wordt de eerste connected car gekaapt?

Het hacken van auto’s is niets nieuws. In 2015 (en 2016) werd tijdens het BlackHat-congres aangetoond dat het mogelijk is om een auto tot stilstand te brengen door misbruik te maken van software aan boord van het voertuig.

Wat wel nieuw is, is dat een groeiend aantal consumenten wordt aangetrokken door de slimme functies en software van connected cars. En die krijgen daarmee een prominenter profiel. Volgens een recent rapport van BusinessInsider.com zullen er in 2020 zo’n 380 miljoen connected cars op de weg rijden. Dit maakt het aantrekkelijker voor hackers om tijd en energie te steken in de ontwikkeling van exploits.

Ik denk dat we op zeer korte termijn gerichte aanvallen op bestuurders van connected cars kunnen verwachten. Cybercriminelen zouden gebruik kunnen maken van social engineering-technieken om bestuurders te beïnvloeden en de toegang tot hun auto te blokkeren of het gebruik daarvan onmogelijk te maken. Het is ook mogelijk dat de controle over een of meer verbonden componenten wordt overgenomen. Dat zou kunnen gaan om alles van het deactiveren van het satellietnavigatiesysteem tot ijzingwekkende aanvallen waarbij de controle van de auto wordt overgenomen via de ‘drive-by-wire’-technnologie die veel voertuigen gebruiken voor de bediening van remmen en versnellingen.

Stelt u zich het volgende scenario voor: 

Tijdens uw rit naar het werk verschijnt er opeens een bericht op het dashboardscherm: “Uw dienst vervalt over 30 dagen. We kunnen deze nu voor u verlengen met ingang van xx/xx/xxxx. Klik op Accepteren of Annuleren”. Het lijkt om een bona fide melding te gaan, dus u selecteert ‘Accepteren’. En daarmee bent u gehackt. Wanneer u de auto stopzet, wil die niet langer opstarten, of de airconditioning blijft op het laagste temperatuurpeil staan. Cybercriminelen zouden echter ook kunnen kiezen voor meer sinistere tactieken. Zo zouden ze zich op afstand toegang kunnen verschaffen tot apparatuur aan boord van de auto voor het maken van opnames en het volgen en vastleggen van de locatie van de bestuurder om die vervolgens te chanteren. Wat dit soort aanvallen betreft zijn de enige beperkingen de functionaliteit van het voertuig en de creativiteit van hackers.

Ik denk niet dat de eerste aanval een willekeurig slachtoffer zal treffen. Nu fabrikanten extra beveiligingsmechanismen in hun auto’s inbouwen, slinkt het aantal kansen voor hackers, maar dit zal ze alleen maar vastberadener maken. De eerste aanval zal naar alle waarschijnlijkheid worden uitgevoerd om voor publiciteit te zorgen, bijvoorbeeld door een beroemdheid op de korrel te nemen. Die zal zeggen dat dit het griezeligste is dat hem of haar ooit is overkomen. Dit heeft een drieledig effect: het merkimago van de fabrikant krijgt een deuk, en tegelijkertijd krijgen de beroemdheid en de hacker meer publiciteit.

Tot nu toe is het aantal aanvallen op auto’s beperkt gebleven. Hiervoor was tot nu toe een fysieke verbinding nodig met een poort in een auto. Maar omdat er tegenwoordig talloze nieuwe auto’s worden verkocht die ingebouwde telematica combineren met mobiele connectiviteit en internettoegang, neemt de kans op aanvallen toe. Veel autofabrikanten hebben firewalls geïnstalleerd tussen systemen aan boord van auto’s en blijven die verder ontwikkelen. Maar dat geldt niet voor alle fabrikanten.

Hoe kunnen eigenaars van connected cars beter worden beschermd?

• Bewustwording rond de beveiliging: We zijn inmiddels getraind om niet te reageren op ongevraagde e-mail- en sms-berichten, en met auto’s is het niet anders. Als u een onverwacht bericht ontvangt via connected car-technologie, moet u daar niet blindelings op ingaan. Neem de tijd om het bericht door te lezen. Als er sprake is van overduidelijke grammaticale en spellingfouten, is de kans groot dat u te maken hebt met een aanvalspoging. Als u nog steeds niet zeker van uw zaak bent, moet u niet op het bericht ingaan en uw autodealer om advies vragen. Voorkomen is beter dan genezen.
• Communicatie met de fabrikant: Autoliefhebbers zijn razend enthousiast over de mogelijkheden van connected cars. Fabrikanten ontwikkelen applicaties en API’s (interfaces voor het op maat aanpassen van applicaties) waarmee de functionaliteit van deze slimme voertuigen kan worden uitgebreid. In het geval van een probleem of storing zouden fabrikanten dit snel en op heldere wijze aan klanten moeten communiceren.

In 2018 zullen er meer connected cars op de weg verschijnen, zeker nu de Europese Unie met het eCall-initiatief komt en het Amerikaanse Ministerie van Vervoer de mogelijkheden van V2V (Vehicle to Vehicle)-technologie serieus bestudeert. Dit is goed nieuws voor automobilisten, maar vertegenwoordigt ook een uitdaging voor fabrikanten die gebruikmaken van verschillende besturingssystemen en miljoenen regels code. Cybercriminelen weten dat bestuurders bereid zijn om losgeld te betalen om hun auto op de weg te houden. Mijns inziens is dit een risico waar we de komende jaren rekening mee zullen moeten houden.

Mijn advies: denk goed na voordat u ergens op klikt. 

Door: Laurence Pitt (foto), Security Strategy Director bij Juniper Networks