Een groep ethische hackers heeft ernstige beveiligingsissues, variërend van veiligheid tot persoonlijke data, bij voertuigen van maar liefst zestien verschillende autoproducenten ontdekt. De auto-industrie moet serieus werk maken van de beveiliging van zowel hun apps als data.
De ethische hackers ontdekten zeker twintig beveiligingsfouten bij maar liefst zestien verschillende merken. Die kunnen worden misbruikt om de locatie van de auto’s te bepalen, ze te ver- en ontgrendelen, de motor te starten en te stoppen, accounts over te nemen en op afstand commando’s uit te voeren.
De kwetsbaarheden zitten onder andere in de application programming interfaces (api’s) waarop autofabrikanten vertrouwen zodat de technologie in auto’s met elkaar kan communiceren. Het betreft onder meer de merken Ford, Toyota, Mercedes, BMW, Porsche en Ferrari. ‘We vonden een kwetsbaarheid bij één autobedrijf en rapporteerden die. Daarna gingen we naar een ander autobedrijf en was het precies hetzelfde’, aldus Sam Curry, een beveiligingsonderzoeker die de bevindingen in een blog uiteenzette.
Een belangrijk probleem is dat sommige autofabrikanten vertrouwen op api-software van derden in plaats van de technologie zelf te bouwen, vertelt Ted Miracco aan het Amerikaanse vakblad CyberScoop. Hij is directeur van beveiligingsbedrijf Approov, dat mobiele cyberbeveiligingsdiensten levert aan autobedrijven. ‘Veel komt neer op api’s: alles wil met alles verbinden. Er is dus een wildgroei aan api-interfaces en een enkele mobiele app kan tientallen api-calls hebben.’
Zwakste schakel
‘De auto-industrie rolt aan hoog tempo allerhande functionaliteiten uit voor remote access and control’, stelt John Pescatore, manager Emerging Security Trends bij it-beveiligingsadviseur en -opleider het Sans Institute. ‘Jammer genoeg is het een feit dat veel online apps en portalen van autobouwers niet noemenswaardig op veiligheid getest zijn voordat ze voor het publiek worden opengesteld.’
Een rode draad zijn bijvoorbeeld serviceportalen die zwakke single-sign-on-implementaties gebruiken om klanten gemakkelijk toegang te geven tot bepaalde diensten via apps en webbrowsers (en die daardoor gemakkelijker te kraken zijn). En doordat mobiele apps, websites, netwerken en (externe) diensten meer en meer met elkaar verbonden zijn, is het cliché van ‘de zwakste schakel’ hier van toepassing.
‘Naarmate auto’s meer en meer software bevatten, neemt de behoefte aan ontwikkelaars met een achtergrond in veilige softwareontwikkeling sterk toe. Omdat daar momenteel een tekort aan is, dragen klanten de gevolgen wanneer onveilige software wordt uitgerold’, vervolgt Pescatore. ‘Third-party software moet volledig getest worden, net als intern ontwikkelde code. Op langere termijn is het duidelijk dat het ontwerpen en testen van veilige software een steeds belangrijker onderdeel van het autofabricageproces zal worden. En dat is niet meer dan terecht.’
Auto’s zijn nog steeds zo lek als een mandje. De laatste pakweg 25 jaar is de auto-industrie erg goed bezig met industriële automatisering. De kwaliteit van conventionele motoren en carrosserie wordt steeds beter. Ik ga er vanuit dat de elektrische aandrijving en energieopslag op hetzelfde hoge niveau terechtkomt. Maar waarom wordt de beveiliging van de auto en van de gegevens van de autobezitter steeds slechter? Blijkbaar zien directies en productmanagers in de auto-industrie de consumentenelektronica als gadgets die voor al goedkoop moeten zijn, alsof het standaard boutjes en moertjes zijn. Kwaliteitscontrole op dit gebied faalt. De auto-industrie kan nog een heleboel leren van een bedrijf als ASML, die net als de auto-industrie te maken heeft met heel veel toeleveranciers, die meestal ook weer veel toeleveranciers hebben. Alles moet van kwaliteit zijn.