‘Auto’s moeten net als je telefoon automatische beveiligingsupdates krijgen’

Keuper en een collega wisten vrij eenvoudig het infotainmentsyteem van een VW Golf GTE en een Audi A3 Sportback e-tron te kraken. Op afstand wisten ze toegang tot het systeem te krijgen. Telefoongesprekken konden afgeluisterd worden, het adresboek en de gespreksgeschiedenis werden achterhaald en via de navigatie werd onthuld waar de bestuurder was geweest en waar hij zich op dat moment bevond. 

Daadwerkelijk de besturing overnemen door remmen of stuur te manipuleren, deden de hackers niet, omdat ze dat ethisch en juridisch te ver vonden gaan. ,,In principe had het gekund. Alles wat elektronisch gaat: adaptive cruise control, lane-assist of automatisch inparkeren wordt geregeld door sofware. En de systemen staan allemaal met elkaar in verbinding. We wilden ons punt maken en dat is gelukt.’’

Computest wilde aantonen wat de gevaren zijn van apparaten en auto’s die verbonden zijn via internet zonder een afdoende beveiliging. Het ICT-bedrijf deelde de ervaringen met het Volkswagen-concern en de softwarefouten zijn inmiddels hersteld. ,,Maar er is geen recall geweest. Onze VW en Audi zijn ondertussen bij de dealer geweest, maar er is geen software-update geweest’’, aldus Keuper.

De gehackte auto’s waren van 2015. ,,Die rijden dus nog zo’n 15 jaar rond, zónder dat er een mechanisme is om de software te updaten. Dat zijn heel wat jaren dat kwaadwillenden er misbruik van kunnen maken. Je moet naar de dealer rijden en vragen om een update.’’

Maar niet iedereen laat zijn auto bij een dealer onderhouden, zeker als de auto uit de garantie is, stappen veel mensen over op een generiek garagebedrijf voor de beurten. Autofabrikanten doen er volgens Keuper goed aan om nieuwe modellen die een internetconnectie hebben zo in te richten dat er automatische updates kunnen komen. ,,Precies zoals bij je telefoon en je computer. Windows zet ook geregeld beveiligingsupdates op je pc.’’

Keuper zegt dat inbreken in de systemen van de auto’s niet heel ingewikkeld was. Een beetje hacker lukt dat wel. Grote vraag is, of de zwakke plekken bij de twee auto’s het topje van de ijsberg zijn. ,,Daar hebben we geen onderzoek naar gedaan. We weten wel dat wij niet de eersten waren die dit is gelukt en we zullen ook niet de laatsten zijn. Bij de meeste automerken is de software bovendien niet op afstand te updaten.’’

,,Internetconnectiviteit is een populaire functionaliteit in auto’s, maar brengt ook risico’s mee waarvan zowel de verantwoordelijke fabrikant als de betrokken bestuurder zich niet altijd bewust zijn’’, zegt Keuper. ,,Het grootste probleem zit hem daarbij vooral in de systemen van auto’s die al een aantal jaar op de markt zijn. Deze software wordt zelden geüpdatet.’’