Autodieven die auto's weten te stelen door de boordcomputer te hacken zijn een groter probleem dan autohackers die op afstand op het autosysteem weten in te breken en de snelheidsmeter manipuleren of de auto stoppen. Dat zegt Raimund Genes van het Japanse anti-virusbedrijf Trend Micro tegenover Security.NL.

In tegenstelling tot wat andere media beweren is het niet mogelijk voor hackers om auto's te stoppen. "Ze kunnen de auto's niet stoppen, maar het is mogelijk om de snelheidsmeter te manipuleren en de verkeerde snelheid te tonen", merkt Genes op.

Ook zou het mogelijk zijn om allerlei waarschuwingslampjes te activeren, waardoor de bestuurder denkt dat de auto defect is. Volgens Genes is dit vooral een probleem bij het Meego besturingssysteem, waar veel beveiligingslekken in aanwezig zijn.

Business case
De vraag blijft natuurlijk waarom cybercriminelen veel moeite zouden doen om een auto aan te vallen. Als potentiële 'business case' noemt Genes het afpersen van de autofabrikant. Als die de criminelen niet betaalt, zouden ze bijvoorbeeld een bepaald aantal auto's kunnen hacken en zo de bestuurders in verwarring kunnen brengen en zelfs laten verongelukken.

Door het gevraagde bedrag te betalen kan de fabrikant wat tijd kopen om de auto's terug te roepen en het beveiligingslek te patchen dat de criminelen willen misbruiken

Risico
Maar hoe groot is het risico nu dat hackers of cybercriminelen auto's gaan hacken? Zijn er signalen dat dit gebeurt? Nee, zegt Genes. Ook zijn er geen bewijzen of signalen dat cybercriminelen aanvallen op autocomputers voorbereiden. Het hacken van auto's om ze te stelen is een echt probleem dat op dit moment plaatsvindt. "Het manipuleren van systemen zoals de snelheidsmeter en waarschuwingslichten is een theoretisch probleem."

Het Meego besturingssysteem dat Genes noemde werd eind 2011 geschrapt en verruild voor het Tizen besturingssysteem. Dat wil niet zeggen dat het besturingssysteem niet meer wordt gebruikt. In 2012 voerde Trend Micro een security audit uit van Meego in een autosysteem dat op het punt stond te worden gelanceerd.

Het systeem wordt dan ook door auto's gebruikt, ook al is het zeer kwetsbaar, laat de expert weten. De onderzoekers van het anti-virusbedrijf wisten op verzoek van de fabrikant allerlei kwetsbaarheden in Meego te vinden, waardoor ze bijvoorbeeld rootrechten kregen. Via de rootrechten was het mogelijk het hoofd autosysteem te benaderen. "Dit was een prototype, maar we denken dat er kwetsbare auto's in omloop zijn."

Terugroepen
Hoewel autocomputers in theorie via het internet kunnen worden aangevallen, zijn die niet in staat om via het web te worden geüpdatet. "Ze moeten de auto's terugroepen, aangezien updates via de lucht en stille updates, voor zover wij weten, in de huidige autosystemen niet geïmplementeerd zijn", zegt Genes.

Ondanks de theoretische risico's van een autohack, kwam de Huffington Post vandaag met een verhaal over het verdachte auto-ongeluk van een Amerikaanse journalist die mogelijk door een autohack om het leven is gekomen.