Medewerkers van het Nederlandse beveiligingsbedrijf Computest hebben kwetsbaarheden ontdekt in de infotainmentsystemen van een Audi A3 Sportback e-tron en een Volkswagen Golf GTE uit het bouwjaar 2015.

Twee onderzoekers waren in staat op afstand toegang te krijgen tot het systeem van de auto's, waardoor de privacy in het geding kan komen. Zo noemen de Computest-onderzoekers de mogelijkheid dat kwaadwillenden in bepaalde situaties kunnen meeluisteren met gesprekken die de bestuurder via een carkit voert.

Tevens bleek het mogelijk om de microfoon aan of uit te zetten en het volledige adresboek en gespreksgeschiedenis te bekijken. De onderzoekers waren ook in staat om toegang te krijgen tot het navigatiesysteem, zodat kan worden achterhaald op welke plekken de bestuurder met de auto is geweest en wat de huidige locatie van de auto is.

De kwetsbaarheid hangt samen met verschillende versies van het infotainmentsysteem van Harman, die in de onderzochte Golf en A3 waren geïnstalleerd. Specifiek gaat het om het zogeheten modular infotainment platformdat via het handschoenkastje te bereiken is.

Deze hardware kan via wifi verbonden worden met internet. Met een simpele port scan werden verschillende processen zichtbaar, waarbij er een dienst was met een kwetsbaarheid die via een wifi-hotspot was te misbruiken. Zo kon er op afstand code worden uitgevoerd. De kwetsbaarheid werkt bij de Golf alleen via deze wifiverbinding, waardoor kwaadwillenden zich in de buurt van de auto moeten bevinden. Bij de Audi A3 was toegang ook mogelijk via het mobiele netwerk, aangezien dit model een ingebouwde simkaart aan boord heeft, zo zegt een van de onderzoekers tegen de NOS. De onderzoekers konden overigens ook beheerdersrechten krijgen via een usb-stick.

De onderzoekers melden in het onderzoeksrapport dat ze de exacte werking van de kwetsbaarheid niet hebben geopenbaard, omdat deze niet op afstand kan worden verholpen. Daarvoor moet de auto naar de garage. De ethische hackers van Computest hebben de de vondst van de kwetsbaarheid enkele maanden geleden gemeld bij Volkswagen Group, de fabrikant van beide automodellen.

De hackers zeggen dat ze nog verder hadden kunnen gaan, omdat de systemen waartoe ze toegang hadden indirect verbonden zijn met de systemen, waaronder waarschijnlijk de can-bus van het interne communicatienetwerk, die bijvoorbeeld toegang geeft tot de remmen van de auto. De directeur van Computest besloot dat het onderzoek op dit punt te stoppen, uit vrees dat het testen van de kwetsbaarheid illegaal is en inbreuk zou maken op het intellectueel eigendom van de fabrikant.

Reacties mogelijk gemaakt door CComment