IoT
Informatieveiligheidsspecialist bij Pen Test Partners hebben een auto gekaapt, via het alarmsysteem. Sterker nog, de veiligheidssystemen die gehackt waren door de onderzoekers, Pandora en Viper SmartStart, worden wereldwijd gebruikt: Onderzoekers schatten dat zo’n 3 miljoen auto’s het systeem geïnstalleerd hebben.
Handig, maar zijn ze veilig?
In theorie zijn smart antidiefstalsystemen meer dan alleen een alarm. Ze kunnen zelfs bijstaan als het voertuig al gestolen is. Zo kunnen ze het voertuig bijvoorbeeld tracken, de motor uitzetten, en de deuren vergrendelen alvorens de politie aankomt. Dit kan allemaal via een app in je smartphone geregeld worden. Handig? Zeker weten! Veilig? Fabrikanten beweren dat zulke systemen ontworpen zijn om de veiligheid van auto’s te waarborgen.
Maar dit keer is het niet alleen je auto die gestolen kan worden.
Als je account gekaapt is en ingelogd is onder jouw naam, kan een cybercrimineel toegang krijgen tot een hoeveelheid data en alle smart alarmfuncties. Je kunt eenvoudig buitengesloten worden met de verandering van het wachtwoord. De aanvaller kan vervolgens:
- Alle bewegingen van het voertuig tracken,
- De immobilisatie in- en uitschakelen, een antidiefstalfunctie die kan voorkomen worden dat de motor aan gaat,
- De motor uitschakelen, in sommige gevallen zelfs als de auto in beweging is.
In het geval van Pandora alarmsystemen kunnen de cybercriminelen ook gesprekken afluisteren die in het voertuig plaatsvinden door middel van de antidiefstal microfoon, die bedoeld is voor telefoongesprekken in geval van nood. Onthoud dat je niet terug kunt vechten, omdat alleen de aanvaller toegang heeft tot het systeem. Klinkt niet al te best, of wel?
Smart-kapen, een kwestie van seconden
Het onderzoeksteam ontdekte dat het kapen van het gebruikersaccount van een alarmsysteem niet alleen mogelijk is, maar ook redelijk eenvoudig. Om een Viper of Pandora account te stelen, is het niet eens nodig om het alarmsysteem zelf te kopen (wat met $5.000,- nogal prijzig is). Tijdens het onderzoek, kwam iemand erachter dat je hiervoor alleen maar hoefde te registeren op de website of app voor een account, en vervolgens dit te gebruiken om toegang tot een andere account te krijgen.
De problemen in beide systemen lijken op elkaar, en hebben betrekking op hoe de app interacteert met de server. Het aanvalsmechanisme is iets anders. In het geval van Viper, kan de indringer gebruikersgegevens wijzigen door een speciaal verzoek naar de server te sturen waar de data liggen opgeslagen.
Het Pandorasysteem onderscheidt zich hier enigszins van, omdat niet iedereen zomaar het wachtwoord kan veranderen, hoewel, een cybercrimineel kan zonder toestemming het e-mailadres wijzigen waaraan het profiel gelinkt is, en dit vervolgens gebruiken om (vanuit het perspectief van het systeem) gelegitimeerd een wachtwoord te herstellen.
Wat kan ik doen?
Allereerst, raak niet in paniek. De onderzoekers hebben de fabrikant uiteraard gewezen op de bevindingen. Deze hebben vervolgens snel gereageerd en alle achterdeuren in een aantal dagen gesloten.
Maar voordat het onderzoek werd uitgevoerd, waren voertuigen met smart alarmsystemen inderdaad minder veilig dan auto’s zonder. En het is niet vanzelfsprekend dat IoT-ontwikkelaars op dezelfde manier gehoor geven aan aanwijzingen van cyberveiligheidexperts. Dus ons advies is, zoals altijd, om voorzichtig te zijn met smartoplossingen, vooral als het gaat om veiligheidssystemen.
Tips