GM auto’s op afstand te openen

Hacker Samy Kamkar heeft een tool ontwikkeld waarmee hij auto’s van General Motors (GM) op afstand kan vinden, openen en starten. GM biedt zelf de dienst OnStar aan waarmee met een smartphone-app de auto kan worden gevonden, geopend en gestart.

De tool van Kamkar heet OwnStar: een apparaatje dat op een auto of vrachtwagen geplaatst, de communicatie tussen de smartphone en de app kan opvangen.

SSL
De app maakt weliswaar gebruik van SSL om gegevens versleuteld uit te wisselen, maar de app controleert het certificaat onvoldoende om er zeker van te zijn dat met echte OnStar-servers wordt gecommuniceerd. De Ownstar is samengesteld uit een Raspberry Pi en drie radio’s. Hij kan zich voordoen als een betrouwbaar netwerk. Wanneer de gebruiker de GM RemoteLink-app start en de smartphone zich binnen het bereik van het apparaatje bevindt, wordt een man-in-the-middle-aanval uitgevoerd.

Update
Op deze manier worden de inloggegevens van de gebruiker gestolen en via een 2G gsm-verbinding naar de hacker gestuurd. Vanaf dat moment kan de hacker de auto volgen, de deuren openen, de motor starten en zowel de claxon als het alarm laten afgaan. GM heeft via een woordvoerder laten weten dat het aan een update werkt om het probleem te verhelpen.

Aanmelden voor onze nieuwsbrief