Kaspersky Lab en IAB, het toonaangevende Spaanse marketing en digitale mediabedrijf, kondigen de introductie aan van een baanbrekend onderzoek, de eerste jaarlijkse Connected Cars-studie.
Het voornaamste doel van dit onderzoek is een overzicht te bieden van de markt voor connected cars. Hiertoe combineert het alle beschikbare informatie, om zo een aantal brandende vragen te beantwoorden en voor wat eenheid te zorgen in het sterk gefragmenteerde software-ecosysteem dat momenteel wordt aangeboden door fabrikanten. Vicente Diaz, Principal Security Researcher bij Kaspersky Lab, was verantwoordelijk voor de ontwikkeling van een ‘proof of concept’ om de veiligheidsimplicaties te analyseren van met het internet verbonden auto’s.
Automobilisten kunnen de veiligheidsproblematiek met betrekking tot de in deze nieuwe generatie “connected cars” opgenomen communicatie- en internetdiensten niet langer negeren. Dit gaat veel verder dan alleen hulp bij het veilig parkeren van de auto; het omvat nu ook toegang tot sociale netwerken, e-mail, smartphoneconnectiviteit, routeberekening, apps voor in de auto, etc. Deze technologieën bieden bestuurders grote voordelen, maar brengen ook nieuwe risico’s met zich mee voor moderne gebruikers. Daarom is het essentieel om de verschillende vectoren te analyseren die kunnen leiden tot cyberaanvallen, ongevallen of zelfs frauduleus onderhoud van het voertuig.
Privacy, updates en smartphone apps voor deze auto’s kunnen worden veranderd in drie afzonderlijke aanvalsvectoren voor cybercriminelen. “Connected cars kunnen de deur openen naar dreigingen die al veel langer bestaan in de pc- en smartphonewereld. Zo kunnen eigenaren van connected cars er bijvoorbeeld achter komen dat hun wachtwoorden zijn gestolen. Dit kan de locatie van het voertuig onthullen en biedt de mogelijkheid om de deuren op afstand te ontgrendelen. Privacykwesties zijn cruciaal en hedendaagse automobilisten moeten zich bewust zijn van nieuwe risico’s die voorheen nooit bestonden”, aldus Diaz.
Kaspersky Labs proof of concept, gebaseerd op de analyse van het BMW ConnectedDrive-systeem, toont een aantal potentiële aanvalsvectoren aan:
Gestolen inloggegevens: Het stelen van de benodigde inloggegevens voor BMW’s website – met behulp van bekende middelen zoals phishing, keyloggers of social engineering – kan onbevoegden toegang verschaffen tot gebruikersinformatie en vervolgens tot het voertuig zelf. Vanaf dat moment is het mogelijk om een mobiele app te installeren met dezelfde inloggegevens en mogelijk externe services in te schakelen voordat men de auto opent en ermee wegrijdt.
Mobiele applicatie: Als u de service activeert om de auto mobiel op afstand te openen, maakt u in feite een nieuwe set sleutels aan voor uw auto. Als de toepassing niet is beveiligd, heeft iemand die de telefoon steelt toegang tot het voertuig. Met een gestolen telefoon is het mogelijk om databasetoepassingen te veranderen en elke pincodeverificatie te omzeilen, zodat een cyberaanvaller services op afstand kan activeren.
Updates: Bluetooth-stuurprogramma’s worden bijgewerkt door een bestand te downloaden van de BMW-website en dit te installeren via USB. Dit bestand wordt niet gecodeerd of ondertekend, en bevat een heleboel informatie over de interne systemen die op het voertuig worden uitgevoerd. Dit kan een potentiële aanvaller toegang geven tot de omgeving die het doelwit vormt, en kan ook worden aangepast om schadelijke code uit te voeren.
Communicatie: Sommige functies communiceren met de SIM-kaart in het voertuig, met behulp van SMS. Inbreken op dit communicatiekanaal maakt het mogelijk om ‘nep’ instructies te verzenden, afhankelijk van het coderingsniveau van de operator. In het slechtste scenario kan een crimineel de BMW-communicatie vervangen door eigen instructies en services.
De studie kijkt ook naar online connectiviteit en de toonaangevende apps in de Spaanse auto-industrie, en verkent daarnaast bedrijfsmodellen en toekomstige trends in beschikbare connectiviteitsplatforms. Het rapport analyseert 21 verschillende voertuigmodellen.
Het onderzoek werd uitgevoerd door IAB Spanje, samen met Applicantes, Motor.com en Kaspersky Lab.
