Oude auto’s slaan meer op dan je denkt. Beveiligingsonderzoeker Romain Marchand van Quarkslab ontdekte dat tweedehands auto’s gevoelige locatiedata bewaren. Hij kocht een telematische besturingseenheid (TCU) van een sloopterrein in Polen. Daarna onderzocht hij de hardware van dit apparaat grondig.
Marchand haalde de volledige bestandsstructuur uit het geheugen van de TCU. Dit geheugen bevatte onder andere GPS-logboeken, systeemconfiguraties en andere persoonlijke gegevens. Niets van deze informatie was versleuteld. De GPS-logs toonden de volledige reis van de auto. Van de fabriek in China, via het Verenigd Koninkrijk, tot aan de sloopplaats in Polen. Alle locatiegegevens waren dus nog volledig leesbaar.
Het probleem beperkt zich niet tot BYD-auto’s. Marchand legt uit dat veel automerken vergelijkbare hardware gebruiken in hun TCU’s. Dit betekent dat het probleem veel groter is dan één fabrikant. Tweedehands auto’s kunnen zo een gevaar vormen voor de privacy van vorige eigenaren. Kopers van sloopmateriaal kunnen eenvoudig toegang krijgen tot persoonlijke rijgegevens. Autofabrikanten wissen deze gegevens niet automatisch bij verkoop of sloop.
Dit onderzoek toont een serieus privacyprobleem in de auto-industrie. Consumenten zijn zich nauwelijks bewust van de data die hun auto verzamelt en opslaat. Experts roepen fabrikanten op om data te versleutelen en automatisch te wissen. Zolang dit niet gebeurt, blijft locatiedata van miljoenen auto’s kwetsbaar voor misbruik.
