Onderzoekers ontdekken beveiligingsfouten bij zestien verschillende automerken
Beveiligingsgaten kunnen misbruikt worden om de locatie van auto's te tracken en ze onder meer te ontgrendelen, de motor te starten/ stoppen of accounts over te nemen.
Onafhankelijke onderzoekers hebben ernstige beveiligingsissues, variërend van veiligheid tot persoonlijke data, bij voertuigen van maar liefst zestien verschillende autoproducenten ontdekt. SANS Institute roept de auto-industrie daarom op m serieus werk te maken van de beveiliging van zowel hun apps als data.
Naarmate technologie zijn intrede doet in elk aspect van ons dagelijks bestaan en alles meer en meer verbonden raakt, wordt data- en informatiebeveiliging steeds belangrijker. Daarbij gaat het soms echter zo snel dat die beveiliging uit het oog wordt verloren. Een perfect voorbeeld daarvan zijn auto’s anno 2023: onderzoekers ontdekten beveiligingsfouten bij maar liefst zestien verschillende merken en zo zouden kunnen worden misbruikt om de locatie ervan te bepalen, ze te ver- en ontgrendelen, de motor te starten en te stoppen, accounts over te nemen en op afstand commando’s uit te voeren.
“De auto-industrie rolt aan hoog tempo allerhande functionaliteiten uit voor remote access and control”, zegt John Pescatore, Director of Emerging Security Trends bij het SANS Institute. “Jammer genoeg is het een feit dat veel online apps en portalen van autobouwers niet noemenswaardig op veiligheid getest zijn voordat ze voor het publiek worden opengesteld.”
Een rode draad zijn bijvoorbeeld serviceportalen die zwakke single-sign-on-implementaties gebruiken om klanten gemakkelijk toegang te geven tot bepaalde diensten via apps en webbrowsers (en die daardoor gemakkelijker te kraken zijn). En doordat mobiele apps, websites, netwerken en (externe) diensten meer en meer met elkaar verbonden zijn, is het cliché van ‘de zwakste schakel hier van toepassing.
“Naarmate auto's meer en meer software bevatten, neemt de behoefte aan ontwikkelaars met een achtergrond in veilige softwareontwikkeling sterk toe. Omdat daar momenteel een tekort aan is, dragen klanten de gevolgen wanneer onveilige software wordt uitgerold”, vervolgt John Pescatore. “Third-party software moet volledig getest worden, net als intern ontwikkelde code. Op langere termijn is het duidelijk dat het ontwerpen en testen van veilige software een steeds belangrijker onderdeel van het autofabricageproces zal worden. En dat is niet meer dan terecht.”