nissan leaf

Is jouw auto ook kwetsbaar voor hackers?

Via een app je auto alvast laten opwarmen: handig toch? Deze nieuwe ontwikkelingen brengen in de sfeer van the internet of things echter ook risico’s met zich mee. Alles dat wordt aangesloten op internet kan tenslotte worden gehackt. Zo ook de airco en verwarming van de nieuwe Nissan LEAF: de bestverkochte elektrische auto ter wereld.

Anoniem inzicht

Beveiligingsexpert Troy Hunt kwam er samen met andere ethische hackers achter dat hij de realtime gegevens van een Nissan LEAF kon inzien via de bijbehorende app van Nissan, zonder daarvoor in te loggen. Zo kon de batterijstatus en de rij-geschiedenis van de auto eenvoudig in beeld worden gebracht. Al gauw kwam naar voren dat de airco en verwarming ook op elke mogelijke afstand kon worden bestuurd middels de toegang via de app. Hiervoor waren alleen eenvoudige tools en het unieke voertuignummer nodig. Inmiddels heeft Nissan de app gedeactiveerd.

Onzorgvuldig nummeren van voertuigen

Veel kwetsbaarheden van producten zijn het gevolg van uitgifte van makkelijk te genereren serienummers en wachtwoorden. Zo waren bijvoorbeeld de wachtwoorden van veel internetmodems tot voor kort vaak een variant op de naam van het netwerk. De leverancier van de Nissan LEAF had een lang voertuignummer per auto uitgegeven, maar het grootste deel van dit nummer kwam overeen met andere voertuignummers. Alleen de laatste cijfers verschilden per auto, waardoor de juiste nummers gemakkelijk konden worden gegenereerd. Daarnaast waren er veel foto’s van de Nissan LEAF op internet te vinden, met het voertuignummer duidelijk in beeld.

--- Sidenote: Wil je ons vaker zien als je googelt? ---
Voeg TechGirl toe als jouw voorkeursbron en kom ons meer tegen in Google zoekresultaten!

Privacy Impact Assessment

Er worden steeds meer regels ingevoerd om de privacy van de burger te beschermen. Zo zal binnenkort de Europese Privacyverordening in werking treden. Met invoering van de Privacyverordening worden er strengere regels op het gebied van beveiliging opgelegd aan bedrijven die producten ontwikkelen die een grote impact kunnen hebben op de privacy. Zo zal de ontwikkelaar van een privacygevoelige app – zoals die van Nissan – eerder kunnen worden verplicht de beveiliging van zijn product zorgvuldig te testen via een Privacy Impact Assessment(PIA).

Bescherm je auto

Het is op dit moment aan te raden om nog even de wachten met de aanschaf van een auto die aan een app is gekoppeld. Na de invoering van de Europese Privacyverordening zal in ieder geval het uitvoeren van een PIA vaker verplicht worden, waardoor de beveiliging van privacygevoelige producten zorgvuldiger zal worden gecontroleerd door leveranciers. Als je toch voor een auto kiest die kan worden bestuurd met een app, kan het verstandig zijn om de door jou gepubliceerde foto’s van de auto goed te controleren. Gelet op het bovenstaande moet je het voertuignummer en het kenteken goed afschermen.

Conclusie

In dit geval ging het om een verwarming en airco van een auto die door onbevoegden op afstand konden worden geactiveerd. Het is een kwestie van tijd voordat de eerste persoon in zijn auto wordt opgesloten, omdat een kwaadwillende zich toegang heeft verschaft tot het op afstand bestuurbare slot van zijn auto. Ik wacht de komst van de Europese Privacyverordening nog af en schaf tot die tijd nog een ouderwets koekblikje aan.

Zeen is a next generation WordPress theme. It’s powerful, beautifully designed and comes with everything you need to engage your visitors and increase conversions.