De bekende hacker Samy Kamkar die onlangs een tool presenteerde waarmee hij auto's van General Motors op afstand kon openen en starten heeft zijn apparaat uitgebreid, waardoor ook auto's van BMW, Mercedes-Benz en Chrysler niet meer veilig zijn. Dat heeft Kamkar via Twitter bekendgemaakt.
Net als General Motoros bieden de andere fabrikanten een smartphone-app om te auto te vinden, te openen en te starten. Het gaat dan om BMW Remote, Mercedes-Benz mbrace en Uconnect van Chrysler. Kamkar ontwikkelde voor 100 dollar een klein apparaatje, de OwnStar, dat op een auto of truck moet worden geplaatst en de communicatie van de smartphone naar de app kan onderscheppen.
De Ownstar bestaat uit een Raspberry Pi en drie radio's en kan zich voordoen als een vriendelijk netwerk. Zodra de gebruiker de app start en de smartphone binnen het bereik van het apparaatje is wordt een man-in-the-middle-aanval uitgevoerd om de inloggegevens van de gebruiker te stelen. Vervolgens worden deze gegevens via een 2G gsm-verbinding naar de aanvaller gestuurd. Met de inloggegevens kan een aanvaller vervolgens de auto volgen, de deuren openen, de motor starten of de claxon of het alarm laten afgaan.
Het probleem met de apps is dat die wel SSL gebruiken om versleuteld gegevens uit te wisselen, maar het certificaat niet goed controleren om er zeker van te zijn dat er ook met de echte servers van de mobiele dienst wordt gecommuniceerd. General Motors verhielp het probleem, maar Kamkar ontdekte dat het probleem ook bij BMW, Mercedes-Benz en Chrysler speelt. Volgens de hacker zijn de auto's hierdoor eenvoudig aan te vallen. De fabrikanten werken inmiddels aan een update, maar die is nog niet beschikbaar. Kamkar adviseert autobezitters dan ook om de betreffende apps voorlopig niet te gebruiken.
Bron: Security.nl