In het infotainmentsysteem dat wordt gebruikt in verschillende modellen van de Volkswagen Group bevinden zich kwetsbaarheden. Dat ontdekten ethische hackers van Computest na het onderzoeken van de Volkswagen Golf GTE en de Audi A3 Sportback e-tron met bouwjaar 2015. Door de lekken kan de privacy van de bestuurder ernstig worden geschaad.
Het lukte de hackers om van afstand toegang te krijgen tot het systeem. In bepaalde situaties kunnen kwaadwillenden meeluisteren met gesprekken die de bestuurder via een carkit voert, de microfoon aan- en uit zetten en het volledige adresboek en de gespreksgeschiedenis inzien. Via het navigatiesysteem kan ook achterhaald worden waar de bestuurder is geweest, terwijl het live te volgen is waar de auto zich op dat moment bevindt.
In de onderzochte auto’s zijn verschillende versies geïnstalleerd van een infotainmentsysteem van Harman. De ethische hackers waren in staat om zowel in de auto via onder meer een usb-stick, als op afstand toegang te krijgen tot de administratieve rechten van het systeem. Daardoor kregen zij de controle over de speakers, de microfoon en het navigatiesysteem. De kwetsbaarheden zijn softwarematig. Het is niet mogelijk om het specifieke type infotainmentsysteem op afstand te updaten.
Oplossing
De systemen waar toegang tot werd gekregen zijn indirect verbonden met systemen die ervoor zorgen dat je kunt remmen en gas geven. Computest besloot op dat punt het onderzoek te stoppen. Het bedrijf gelooft in de rol van de ethische hackers, maar het onderzoeken en aankaarten van risico’s moet wel verantwoord blijven. Bij het testen van dergelijke kritieke functies ben je in feite illegaal bezig, je maakt dan inbreuk op het intellectueel eigendom. Zonder toestemming van de fabrikanten doorgaan was voor Computest dan ook geen optie.
Na de vondst van het lek maakte het bedrijf direct melding bij de Volkswagen Group. De autofabrikant heeft Computest inmiddels laten weten dat de kwetsbaarheden zijn opgelost.
4 minuten geleden
