Android apps grote autofabrikanten maken auto’s kwetsbaar

Geparkeerde electrische auto aan laadpaal, laadpalen. Chiptekort

De auto met internetfunctionaliteit die veel autofabrikanten inbouwen is in opmars maar kent wel gevaren. Dat blijkt uit een veiligheidstest bij  zeven grote autofabrikanten. Het gaat vooral om Android-applicaties voor het op afstand bedienen van hun auto’s.

Het gaat om apps die volgens Google Play minstens tienduizenden keren en soms vijf miljoen keer zijn gedownload. Alle onderzochte apps hebben te maken met veiligheidsvraagstukken. Criminelen kunnen ze benutten om autobezitters aanzienlijke schade te berokkenen.

 

Bescherming

Deze online-connectiviteit gaat om infotainmentsystemen, maar ook voertuigsystemen als deursloten en ontsteking. Het is bijvoorbeeld mogelijk om, met behulp van mobiele applicaties, de precieze locatie van het voertuig vast te stellen. Ook kun je zo de portieren openen, de motor starten en devices in de auto bedienen.

Er blijkt bijvoorbeeld geen bescherming te zijn tegen application reverse engineering. Kwaadwillende gebruikers kunnen uitvinden hoe de app functioneert en zwakke plekken opsporen. Er is geen code integrity check. Dit is cruciaal omdat het criminelen in staat stelt hun eigen code in de app te verwerken. Het originele programma kan vervangen worden door een nepversie.

 

Trojans

Er werden geen rooting-detectiontechnieken aangetroffen. Root-rechten bieden Trojans bijna eindeloze mogelijkheden en maken de app weerloos. Verder vonden de onderzoekers  onvoldoende bescherming tegen app-overlayingtechnieken. Dit biedt kwaadaardige apps mogelijkheden tot phishing en diefstal van gebruikersgegevens.

Verder blijkt de opslag van gebruikersnamen en wachtwoorden in platte tekst plaats te vinden. Een dergelijke zwakke plek maakt het eenvoudig om gebruikersgegevens te stelen.

Onderzoek van the Register toonde eerder al aan kopen van tweedehands connected cars gevaar oplevert. Zo zou de oorspronkelijke eigenaar makkelijk toegang tot de auto houden.

Gerelateerde berichten...