Beveiligingsonderzoekers hebben meerdere kwetsbaarheden ontdekt in de infotainmenteenheden die in sommige Skoda-auto's worden gebruikt, waardoor kwaadwillende actoren op afstand bepaalde bedieningselementen kunnen activeren en de locatie van de auto in realtime kunnen volgen. Cybersecuritybedrijf PC Automotive, gespecialiseerd in de automobielsector, heeft deze week tijdens de Black Hat Europe-conferentie twaalf nieuwe beveiligingsproblemen aangekondigd die het nieuwste model van Skoda's Superb III sedan treffen. Vorig jaar maakte de groep negen andere kwetsbaarheden bekend die van invloed waren op hetzelfde voertuigmodel. Skoda is een automerk van de Duitse autogigant Volkswagen.
Danila Parnishchev, directeur beveiligingsbeoordelingen bij PC Automotive, zei dat hackers deze kwetsbaarheden aan elkaar kunnen rijgen en deze kunnen misbruiken om malware in auto's te injecteren. Een aanvaller zou via Bluetooth verbonden moeten zijn met de media-eenheid van de Skoda Superb III om de kwetsbaarheden te kunnen misbruiken, maar hij merkte op: "De aanval kan worden uitgevoerd binnen een bereik van 10 meter en vereist geen authenticatie."
De kwetsbaarheden werden ontdekt in de MIB3-infotainmenteenheid van de auto, waardoor een aanvaller onbeperkte code en kwaadaardige code kon uitvoeren telkens wanneer de eenheid werd gestart. Volgens PCAutomotive zou dit een aanvaller in staat kunnen stellen real-time GPS-coördinaten en snelheidsgegevens van het voertuig te verkrijgen, gesprekken op te nemen via de microfoon van het voertuig, schermafbeeldingen te maken van het infotainmentscherm en willekeurige geluiden in het voertuig af te spelen.
PCAutomotive heeft deze gebreken geverifieerd op een Superb III, en het is ook mogelijk dat een aanvaller de database met mobiele telefooncontacten van de eigenaar steelt als de eigenaar contactsynchronisatie met de auto heeft ingeschakeld.
"Mobiele telefoons zijn doorgaans gecodeerd, zodat de contactendatabase niet gemakkelijk kan worden geëxtraheerd, en de contactendatabase van infotainmentapparaten wordt meestal in duidelijke tekst opgeslagen", zei Parnishchev.
Parnishchev wees erop dat ze geen manier hebben gevonden om de beperkingen van de netwerkgateway in het voertuig te omzeilen op de toegang tot veiligheidskritieke autobedieningen zoals het stuur, de remmen en het gaspedaal.
PCAutomotive deelde het rapport voorafgaand aan een onderzoeksnota die donderdag werd vrijgegeven waarin wordt gesteld dat kwetsbare MIB3-eenheden worden gebruikt in meerdere modellen van Volkswagen en Skoda, met schattingen dat het aantal kwetsbare voertuigen de 1,4 miljoen zou kunnen overschrijden op basis van openbare verkoopgegevens.
Als rekening wordt gehouden met de vervangingsmarkt, is het aantal kwetsbare voertuigen waarschijnlijk veel hoger. "Als je op eBay naar een onderdeelnummer zoekt, zul je het vinden", legde hij uit. "Als de vorige gebruiker het niet heeft verwijderd, zal zijn contactendatabase er nog steeds zijn."
Volkswagen heeft de kwetsbaarheden gepatcht nadat ze waren gemeld via het Cybersecurity Disclosure Program van het bedrijf;
Skoda-woordvoerder Tom Drechsler zei in een verklaring per e-mail: "De gerapporteerde kwetsbaarheden in het infotainmentsysteem zijn en worden aangepakt en geëlimineerd door middel van continu verbeteringsbeheer van de productlevenscyclus. Er was op geen enkel moment sprake van enige bedreiging voor de veiligheid van klanten of voertuigen."