Een groep ethische hackers heeft ernstige beveiligingsissues, variërend van veiligheid tot persoonlijke data, bij voertuigen van maar liefst zestien verschillende autoproducenten ontdekt. De auto-industrie moet serieus werk maken van de beveiliging van zowel hun apps als data.
De ethische hackers ontdekten zeker twintig beveiligingsfouten bij maar liefst zestien verschillende merken. Die kunnen worden misbruikt om de locatie van de auto’s te bepalen, ze te ver- en ontgrendelen, de motor te starten en te stoppen, accounts over te nemen en op afstand commando’s uit te voeren.
De kwetsbaarheden zitten onder andere in de application programming interfaces (api’s) waarop autofabrikanten vertrouwen zodat de technologie in auto’s met elkaar kan communiceren. Het betreft onder meer de merken Ford, Toyota, Mercedes, BMW, Porsche en Ferrari. ‘We vonden een kwetsbaarheid bij één autobedrijf en rapporteerden die. Daarna gingen we naar een ander autobedrijf en was het precies hetzelfde’, aldus Sam Curry, een beveiligingsonderzoeker die de bevindingen in een blog uiteenzette.
Een belangrijk probleem is dat sommige autofabrikanten vertrouwen op api-software van derden in plaats van de technologie zelf te bouwen, vertelt Ted Miracco aan het Amerikaanse vakblad CyberScoop. Hij is directeur van beveiligingsbedrijf Approov, dat mobiele cyberbeveiligingsdiensten levert aan autobedrijven. ‘Veel komt neer op api’s: alles wil met alles verbinden. Er is dus een wildgroei aan api-interfaces en een enkele mobiele app kan tientallen api-calls hebben.’