Je kon er bijna niet omheen: de gehackte Audi A3 Sportback e-tron stond pontificaal in de zaal op het event dat we organiseerden over het hacken van het infotainmentsysteem van enkele Volkswagen-modellen. Waarom voerden we deze hack uit? Hoe reageerde Volkswagen? En hoe kun je als organisatie zelf je voordeel doen met bevindingen van een hacker? Het kwam allemaal aan de orde.

“In ons ‘chaos lab’ doen we continu onderzoek naar kwetsbaarheden. Niet alleen omdat het ons vak is en omdat we het leuk vinden, maar ook om mensen bewust te maken van security-risico’s”, begint Hartger Ruijs, directeur van Computest. “Omdat er steeds meer zaken aangesloten worden op het internet en dit ook in auto’s een populaire feature is, hebben onze hackers gekeken naar de kwetsbaarheden in auto’s.”

Security-specialisten en ethisch hackers Daan Keuper en Thijs Alkemade onderzochten specifiek enkele modellen van de Volkswagen Group. Waarom kozen zij deze auto’s? Simpelweg omdat deze op onze de parkeerplaats stonden. Het onderzoek concentreerde zich op kwetsbaarheden in een Volkswagen Golf GTE en een Audi A3 Sportback e-tron beide met bouwjaar 2015.

Eerste stap bij hacken auto
Waar begin je als je een auto wil hacken? “Een eerste stap is om het aanvalsoppervlak te bepalen”, vertelt Keuper. “Het infotainmentsysteem was daarbij een logische keuze aangezien daar aanvalsoppervlak is via bluetooth, wifi en de internet-connectiviteit. Dit laatste maakt het ook het meest interessant, omdat je daarmee vanaf afstand toegang zou kunnen krijgen tot de systemen.”

Het uiteindelijke doel was toegang krijgen tot het CAN bus-netwerk in de auto. Hier zijn veel systemen en functies van de auto op aangesloten zoals het infotainmentsysteem, maar bijvoorbeeld ook de airconditioning, deuren, remmen en het sturen. Het CAN bus-protocol heeft geen authenticatie of encryptie. Als je toegang hebt tot dit netwerk kun je alle aangesloten systemen bereiken.

In de onderzochte auto’s zijn verschillende versies geïnstalleerd van een infotainmentsysteem van het merk Harman. In het systeem vonden Alkemade en Keuper meerdere kwetsbaarheden. “Het lukte ons daarmee om op afstand toegang te krijgen tot het systeem. Daardoor kregen we de controle over de speakers, de microfoon en het navigatiesysteem. Op dit punt hadden we de keuze verder te gaan met ons onderzoek en te proberen of we cruciale functies konden bereiken, of te stoppen. We hebben gekozen voor het laatste. Het vervolgen van het onderzoek zou enkele legal issues met zich meebrengen waarvan voor ons het risico te groot was. Bovendien was het punt dat we wilden maken al duidelijk.”

Kwetsbaarheid melden bij Volkswagen

Nu de kwetsbaarheid was gevonden, was het zaak deze te melden bij Volkswagen. Keuper: “De Volkswagen Group had echter geen responsible disclosure-proces dus ook geen duidelijkheid over waar we met onze melding naartoe konden. Uiteindelijk hebben we ons gemeld via een publiek klokkenluidersysteem en vond er na enige tijd een meeting plaats met de afdeling Quality Assurance. Na deze full disclosure kregen we in februari een reactie op ons onderzoeksrapport en volgde in april een officieel statement dat de kwetsbaarheden waren opgelost.”

“Het grootste obstakel bij het hacken van een auto is niet de complexiteit, maar het gebrek aan documentatie”, concludeert Keuper. “De security-problemen die bij deze hack naar boven komen, zijn ook niet veel anders dan wat je bij andere kwetsbare IoT-producten ziet. Zo is het niet mogelijk om op afstand security-updates te installeren, de verantwoordelijkheid hiervan wordt bij de gebruiker neergelegd. En deze is zich vaak te weinig bewust van de risico’s die de kwetsbaarheid met zich meebrengt. Idealiter wil je eindgebruikers zo min mogelijk belasten met de vraag of het product wel veilig is.”

Responsible Disclosure

Na de presentatie van Keuper vertelde CTO Christiaan Ottow hoe je met een Responsible Disclosure-proces kunt zorgen dat je de bevindingen van hackers gebruikt om de security van je systemen en producten te verbeteren. Benieuwd hoe je dit doet of wil je hierover verder praten met ons, stuur dan een e-mail naar Cottow@computest.nl.