Ernstige securityfouten gevonden bij zestien autofabrikanten

“De auto-industrie rolt in hoog tempo functionaliteiten uit voor remote access and control”, zegt John Pescatore, Directeur Emerging Security Trends bij SANS Institute. “Jammer genoeg is het een feit dat veel online apps en portalen van autobouwers niet noemenswaardig op veiligheid getest zijn voordat ze voor het publiek worden opengesteld.”

SANS trof onder meer kwetsbaarheden aan die kunnen worden misbruikt om locaties van auto’s te bepalen, auto’s te ver- en ontgrendelen, de motor te starten en te stoppen. Ook lukte het om accounts over te nemen en op afstand commando’s uit te voeren. De rode draad bij de verschillende soorten fouten zijn serviceportalen die zwakke single-sign-on-implementaties gebruiken om klanten gemakkelijk toegang te geven tot diensten via apps en webbrowsers.

“Doordat mobiele apps, websites, netwerken en  externe diensten meer en meer met elkaar verbonden zijn, is het cliché van ‘de zwakste schakel’ hier van toepassing”, schrijft SANS in een persbericht. “Naarmate auto's meer en meer software bevatten, neemt de behoefte aan ontwikkelaars met een achtergrond in veilige softwareontwikkeling sterk toe. Omdat daar momenteel een tekort aan is, dragen klanten de gevolgen wanneer onveilige software wordt uitgerold”, vervolgt Pescatore.

Software belangrijker

Third-party software moet volgens SANS Institute volledig getest worden. Dat geldt ook voor intern ontwikkelde code. “Op langere termijn is het duidelijk dat het ontwerpen en testen van veilige software een steeds belangrijker onderdeel van het autofabricageproces zal worden”, besluit Pescatore.