Beveiligingslekken in een dongel van fabrikant Bosch maakten het mogelijk voor hackers om op afstand de motor van een rijdende auto uit te schakelen. De problemen waren aanwezig in de Bosch Drivelog Connector OBD-II dongel. Het apparaat wordt voor het beheer van de auto gebruikt en monitort de "gezondheid" van het voertuig en waarschuwt als er iets mis is.

Gebruikers kunnen via een smartphone-app weer met de dongel communiceren. Dit gebeurt via bluetooth en maakt het mogelijk om informatie over het voertuig op te vragen. Onderzoekers van Argus Cyber Security ontdekten een informatielek in het authenticatieproces tussen de dongel en smartphone-app, alsmede kwetsbaarheden in het berichtenfilter van de dongel. De onderzoekers ontdekten dat een aanvaller met de dongel kon pairen, zodat de dongel het dongelcertificaat verstuurde. Aangezien de aanvaller niet over de pincode van de gebruiker beschikt, zou die in een offline-omgeving via bruteforce kunnen worden achterhaald.

Met deze pincode en het certificaat kon de aanvaller vervolgens verbinding met de dongel maken. Het berichtenfilter van de dongel bevatte echter ook kwetsbaarheden en lieten een aanvaller kwaadaardige opdrachten naar de CAN-bus sturen. Op deze manier was het mogelijk om de motor van een rijdende auto uit te schakelen. Het beveiligingsbedrijf waarschuwde Bosch dat de problemen verhielp.

Alles bij de bron; Security