Laatste nieuws:

SEATTLE (USA), 28 juli 2017 12:47

Hackers nemen bemande Segway over (video)

Wie op een Segway rondrijdt, is vermoedelijk vooral bang om letterlijk op zijn gezicht te gaan. Aan de mogelijkheid dat anderen op afstand zijn of haar ritje overnemen, wordt waarschijnlijk minder gedacht. Een onderzoeker van IOActive ontdekte dat die mogelijk er wel degelijk in zit. Segway heeft inmiddels maatregelen genomen.

Het lukte een onderzoeker van IOActive om zijn Segway MiniPro te hacken. De fabrikant heeft de meeste kwetsbaarheden middels een update inmiddels opgeheven.'
Het lukte een onderzoeker van IOActive om zijn Segway MiniPro te hacken. De fabrikant heeft de meeste kwetsbaarheden middels een update inmiddels opgeheven.
1/1

Toen Thomas Kilbride een Segway MiniPro in handen kreeg, trok de bijbehorende mobiele app zijn aandacht. De gebruiken kan met de app zijn voertuig op afstand beseturen of afsluiten wanneer er niemand op staat. Hij kan zelfs sociale GPS tracking gebruiken om real-time alle Segway MiniPro's in zijn omgeving te volgen.

Nu brengt Kilbride zijn dagen door als ‘embedded device security consultant' bij IOActive. Toen hij de beveiliging achter deze snufjes aan een nader onderzoek onderwierp, vond hij kwetsbaarheiden. Een hacker zou die kunnen gebruiken om de beveiligingsmaatregelen van de tweewieler te omzeilen en het voertuig over te nemen.

Gemakkelijke toegang

Kilbride gebruikt zijn Segway regelmatig omdat parkeren duur is. Hij was verrast dat zijn vervoermiddel zo gemakkelijk toegankelijk was. Het zou juist zorgvuldig moeten zijn beveiligd omdat iemand kan worden afgeworpen of zelfs serieus gewond kan raken als een hacker zijn slag wil staan.

De Segway MiniPro gebruikt Bluetooth om verbinding te maken met het voertuig zelf. Ook kunnen de instellingen worden veranderd en firmware updates worden binnengehaald.

Door de communicatie tussen de app en het voertuig te analyseren, merkte Kilbride dat een PIN-code voor de gebruiker de Bluetooth communicatie beschermde tegen ongewenste toegang, maar niet wordt gebruikt voor enig authenticatieniveau voor het systeem. Hierdoor kon Kilbride willekeurige commando's naar zijn voertuig sturen zonder de door de gebruiker gekozen PIN-code te gebruiken.

Hij ontdekte ook dat het software update platform van de tweewielen geen mechanisme kende om te bevestigen dat firmware updates werkelijk afkomstig waren van Segway (integrity check). Hierdoor zou een hacker een voertuig er ook gemakkelijk toe kunnen bewegen een malafide firmware update te installeren die de basisprogrammering zou overschrijven.

Op deze manier zou een aanvaller de ingebouwde veiligheidsmechanismen kunnen uitschakelen die voorkomen dat de app het voertuig op afstand kan benaderen. Ook zou de hacker het voertuig kunnen uitschakelen terwijl er iemand op staat. De gevolgen laten zich raden. Ook zou hij het voertuig gemakkelijk kunnen stelen.

Update

Het goede nieuws is dat IOActive de bouwer op de hoogte bracht van Segway, dat in handen is van de Chinese scooterfabrikant Ninetor. Er is inmiddels een app update uitgebracht die de meeste problemen oploste.

Volgens Kilbride reageerde de fabrikant goed op zijn conclusies, maar kunnen er nog wat zwakheden zitten in de manier waarop de gebruikers toegang toegang kunnen krijgen tot de Bluetooth management interface. De ernstige aanvallen die Kilbride bij zijn onderzoek realiseerde, zijn inmiddels niet meer mogelijk.

Dit geval toonde aan hoe gevaarlijk het hacken van digitaal verbonden voertuigen kan zijn. Kwetsbaarheden in het Internet of Things hebben wereldwijd al tot veel incidenten geleid. Kilbride toonde aan dat een het combineren van een apparaat dat een voertuig dat met internet is verbonden en een Bluetooth-interface heeft, tot kwetsbaarheden leidt waar een voertuig zonder digitale connectiviteit geen last van heeft

Onderstaand filmpje geeft een korte impressie van de hack. Op de site van Wired vindt u een uitgebreidere video.

 

bron: Wired

Reacties

Er zijn nog geen reacties op dit artikel.

Hier kunt u een reactie plaatsen bij het bericht .
Uw e-mailadres zal niet op de website worden getoond.
Uw naam *
Uw E-mail *
Uw bericht *
  robot check
Vul de code van bovenstaand plaatje in.

Van onze partners meer (7)...

Rollon Lineairtechniek BV

Pilz Nederland

Rotero Holland bv

Bege Aandrijftechniek BV

DIS Sensors

B&R Industriele Automatisering BV

Perfection in Automation  

Vacatures

ab op Twitter

TwitterlogoVolg ab nu ook op Twitter!

Onze accountnaam is: @aenb

Agenda meer (4)

20 maart 2018 - Utrecht - Jaarbeurs
ESEF 2018
20 maart 2018 - Utrecht - Jaarbeurs
TechniShow 2018
23 april 2018 - Hannover - Messegelände
Hannover Messe 2018
23 april 2018 - Hannover, Messegelände
CeMAT

Geen nieuws meer missen?

Meldt u dan direct aan voor de gratis ab nieuwsbrief.

 

Knop nieuwsbriefMet de gratis ab nieuwsbrief wordt u wekelijks op de hoogte gehouden over het aandrijven en besturen nieuws. U ontvangt wekelijks het laatste nieuws en elke maand een themanieuwsbrief.

 

Direct aanmelden