Android-apps van autofabrikanten niet veilig volgens Kaspersky Lab

Een app waarmee je je auto op afstand kunt bedienen wordt steeds gewoner. Dit brengt uiteraard ook een alternatieve manier van het inbreken in auto’s met zich mee. Vandaar dat men bij Kaspersky Lab eens heeft gekeken naar de beveiliging van die apps. Die laat volgens de onderzoekers nog wel wat te wensen over. 

Als het gaat om internetfunctionaliteit in de auto, dan hebben we het niet alleen over het online gaan via het ‘infotainment’-systeem. Wil je een auto op afstand kunnen ontgrendelen of zelfs starten, dan moet je via deze functionaliteit ook toegang hebben tot de sloten en de ontsteking. Je ziet daarnaast met behulp van een mobiele applicatie exact waar de auto staat. Al deze functies kunnen erg nuttig zijn, maar zorgen ook voor potentiële beveiligingsrisico’s.

Kaspersky Lab heeft van ‘zeven grote autofabrikanten’ de applicaties tegen het licht gehouden waarmee de auto’s op afstand te bedienen zijn. Volgens de statistieken van Google Play zijn deze apps minstens tienduizenden keren gedownload. Uit dit onderzoek komen de nodige beveiligingsproblemen bovendrijven.

Zo is er geen bescherming tegen reverse engineering aangetroffen. Het is dus mogelijk om uit te vogelen hoe de app in de basis werkt, wat de mogelijkheid schept om zelf aan de slag te gaan en zwakke plekken uit te buiten. Daarnaast is er geen code integrity check aangetroffen, dus iedereen kan er om het even welke code aan toevoegen. Je kunt dus feitelijk het hele programma vervangen door een zelfgemaakte versie.

Verder wordt in de apps niet gedetecteerd of er root-rechten verleend zijn, is er onvoldoende bescherming tegen app-overlayingtechnieken en worden gebruikersnamen en wachtwoorden opgeslagen in platte tekst.

Volgens Kaspersky Lab is het succesvol benutten van een van bovenstaande kwetsbaarheden al voldoende om controle over vitale onderdelen van een auto te krijgen (ontgrendelen, alarm uitschakelen) en dus de betreffende auto te stelen. Er wordt overigens nergens vermeld hoeveel gevallen van via de bijbehorende app gehackte auto’s er tot nu toe bekend zijn. Het is ons op dit moment onduidelijk hoe groot het probleem op dit moment in de praktijk al is.

De volledige blogpost van de onderzoekers van Kaspersky Lab kun je lezen via deze link.