Met 'terugroepen' maakt Fiat Chrysler zijn auto-hack erger

Nadat Wired had laten zien dat twee hackers op afstand toegang kregen en een bewegende Jeep immobiliseren door gebruik te maken van softwarekwetsbaarheden vorige week, reageerde Fiat Chrysler door de kwetsbaarheid te patchen in verschillende Jeep-, Dodge- en Chrysler-modellen die waren uitgerust met de Uconnect-software die was gehackt. Hoe ze de patch hebben uitgegeven, kan echter de klanten van het bedrijf nog meer in gevaar brengen.

In plaats van de softwarepatch gewoon te behandelen als een traditionele terugroepactie (d.w.z. dat ze een servicecentrum moeten bezoeken en een expert de oplossing moeten laten maken), stuurt Fiat Chrysler een USB-stick naar eigenaren van de betrokken auto's. Van daaruit kunnen de eigenaren van de auto de USB-drive aansluiten op de USB-poort van de auto om de softwarekwetsbaarheid te verhelpen. Dit lijkt een handige manier om een ​​terugroepactie uit te voeren voor iets dat autobezitters zelf kunnen oplossen. 

Zoals iedereen met ervaring op het gebied van cyberbeveiliging echter wel zou weten, opent dit een enorm procedureel venster voor hackers die mogelijk geneigd zijn de kwetsbaarheid te misbruiken om de controle over de auto over te nemen. Carl Leonard, hoofd beveiligingsanalist bij Raytheon Websense, zegt dat dit een gemakkelijke social engineering-mogelijkheid biedt en een notoir kwetsbare distributiemethode in de USB-drive gebruikt.

"De beslissing van Fiat Chrysler om USB-sticks rechtstreeks naar klanten te sturen om de recente kwetsbaarheid op te lossen, is het beveiligingsequivalent van het naar een stier zwaaien", zegt Leonard. "Hackers, die zeer bedreven zijn in het profiteren van besluiteloosheid en social engineering-tactieken in tijden van crisis, zouden deze mogelijkheid tot USB-fix mogelijk kunnen benutten voor snode winst."

Voor degenen die deze auto's bezitten, kan een poging om het beveiligingslek te dichten mislukken als ze het doelwit zijn van hackers.

"[Hackers] zouden bijvoorbeeld de update kunnen parodiëren met een nepbrief en een eigen USB-stick, waardoor ze een veelvoud aan reële bedreigingsscenario's kunnen lanceren, waaronder crashen of het stelen van de auto," voegde Leonard eraan toe. "Hierbij wordt niet eens rekening gehouden met de onzekerheid dat de USB-patch correct is aangebracht zonder negatieve gevolgen voor de veilige bediening van het voertuig."

Dit lijkt allemaal bijzonder dwaas als je bedenkt dat Fiat Chrysler de update ook beschikbaar heeft gemaakt om te downloaden op zijn website en ook service biedt bij zijn dealers. Dus het aanbod om een ​​vooraf geladen USB-apparaat te mailen was in de eerste plaats nooit echt nodig.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.