Reportage

Hackere kan stjæle din bilnøgle, uden at den forlader din lomme: »Pak den ind i sølvpapir«

1. maj 2018 kl. 15:5012
Hackere kan stjæle din bilnøgle, uden at den forlader din lomme: »Pak den ind i sølvpapir«
Illustration: huettenhoelscher/Bigstock.
Mange personbiler bruger i dag smart keys, der kan låse bilen op uden brugerinteraktion. Men systemet er let at misbruge.
Adam Fribo
Adam Fribo
Redaktionschef
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Adam Fribo
Adam Fribo
Redaktionschef

»Jeg har set engelske medier omtale en metode med udstyr for omkring 1.000 pund. Dette her klarer vi altså med udstyr for omkring 20 dollars.«

Mogens Nørgaard er direktør i Cima Technologies, og det, han kan 'klare' for omkring 20 dollars, er kort sagt at bryde ind i din bil.

Med billigt udstyr købt på internettet er det nemlig ifølge Nørgaard muligt at åbne fremmede menneskers biler, hvis de har en såkaldt smart key-funktion.

Smart key betyder blandt andet, at den pågældende bil automatisk låses op, når nøglen nærmer sig, men selvom det er smart, er det tilsyneladende let at misbruge, hvis man kan komme tæt nok på den intetanende bilejer.

Artiklen fortsætter efter annoncen

Mogens Nørgaard fortæller, at det er muligt at opfange det signal, den smarte nøgle udsender, for så at 'afspille' det igen tæt på bilen. Og så er den åben.

»Stort set alle high end-biler har dette her i dag, og det bevæger sig meget hurtigt ned gennem fødekæden,« siger Mogens Nørgaard.

»BMW har sågar meldt ud, at der praktisk talt ikke er noget at gøre ved det.«

Pak nøglen ind i sølvpapir

Men selvom smart key-funktionen gør din bil lettere at stjæle, er der et par lavpraktiske greb, man kan bruge til at beskytte sig.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Man kan for eksempel trykke flere gange på lås-knappen, når man forlader bilen. Der genereres en ny kode hver gang,« siger Mogens Nørgaard og tilføjer, at det dog ikke hjælper noget, hvis tyven aflæser nøglens signal efter det sidste tryk på knappen.

»Alternativt kan du pakke din nøgle ind i sølvpapir.«

Mogens Nørgaard demonstrerer hele seancen på Version2s it-sikkerhedsmesse Infosecurity 2018 i Øksnehallen i København i morgen, onsdag d. 2. maj, klokken 11 og 15. Læs mere her. Der er gratis adgang. Tilmelding her.

Emner
12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
Michael Cederberg
2. maj 2018 kl. 12:39

Det er ikke nøglen som er problemet. Det er kommunikationen, som ikke er krypteret. Den indeholder en kode som kan opsnapper. og genbruges til at læse døren op.

Nej, problemet er at tyvene laver et "relay" mellem nøglen og bilen sådan at bilen kan låses op og startes uden nøglen er i nærheden. Der er reelt kun et problem med keyless entry - ikke for de traditionelle nøgler hvor man skal trykke på en knap for at åbne bilen.

Kan man ikke implementere en Diffie-Hellman algoritme så man sikkert kan sende nøglen. Burde ikke være så svært.

Det løser ikke problemet.

  • more_vert
    • insert_linkKopier link
9
Peter Bryde
2. maj 2018 kl. 11:54

Kan man ikke implementere en Diffie-Hellman algoritme så man sikkert kan sende nøglen. Burde ikke være så svært.

  • more_vert
    • insert_linkKopier link
8
Hans Nielsen
2. maj 2018 kl. 11:43

Det er ikke nøglen som er problemet. Det er kommunikationen, som ikke er krypteret. Den indeholder en kode som kan opsnapper. og genbruges til at læse døren op.

Hvis man som med en token, altid ændret "godkendelse" efter et mønster som kun bilen og nøglen kendte, så var dette problem løs.
Men der er sikkert mange andre. Bilindustrien har ikke været gode til at tænke IT sikkerhed ind i deres produkter.

  • more_vert
    • insert_linkKopier link
7
Michael Cederberg
2. maj 2018 kl. 11:17

Modtrækket ville i stedet være, ikke at låse op automatisk, men derimod forlange interaktion med nøglen ved oplåsning, på samme måde som den gestus som kræves for at låse. Mindre bekvemt, mere sikkert. Men nok mere bekvemt end lommer af sølvpapir.

Andre løsninger kunne gå på at bilen målte round-trip latency ... der kræves selvfølgeligt en ret præcis tidsmåling hvis man skal måle om nøglen er mere en ca. 1m væk. Der tager ca. 3ns plus den tid nøglen bruger til processering.

Nøgler kunne også indeholde et accellerometer der målte bevægelse. Med et system hvor nøglen kun svarer hvis der har været målt bevægelse indenfor de sidste 5 sekunder kan man lukke for situationer hvor nøglen blot ligger på køkkenbordet.

  • more_vert
    • insert_linkKopier link
6
Jesper Weltström
2. maj 2018 kl. 11:05

Du antager at fordi det er blevet lettere, vil problemet eskalere?

  • more_vert
    • insert_linkKopier link
5
Hans Nielsen
2. maj 2018 kl. 10:23

"I øvrigt så går signalet fra nøglen gennem sølvpapir. I hvert fald på min nøgle." Har de ændret på indholdet af sølvpapir så strålerne kan trænge igennem og få ramt på de sidste af os ?

Løsningen på nøgleproblemet til biler, ville vel være at implice noget token agtigt, hvor der bruges en ny nøgle for hver kontakt. Nok lidt dyre. Men man forstår ikke, at bilindustrien ikke er kommet længere, og tror sig sikker. Måske betaler forsikringen, men så kunne forsikringsselskaberne 2 eller 3 dobbelt præmien eller selvrisikoen, ved biler med dårligt sikkerhed. Ligesom de gør med unge mennesker eller hurtige biler.

  • more_vert
    • insert_linkKopier link
3
Jesper Weltström
2. maj 2018 kl. 08:05

Selvom man med denne transponder kan snuppe signalet gennem hoveddøren er der stadigvæk tale om at stjæle eller bryde ind i en bil. Det kan virke skræmmende at det er gjort lettere. Men det får ikke almindelige mennesker til pludselig at bryde ind i bilerne? Ser jeg en åben bil med nøglen i på shell tanken stjæler jeg den jo ikke, blot fordi det er muligt;-)

I øvrigt så går signalet fra nøglen gennem sølvpapir. I hvert fald på min nøgle.

  • more_vert
    • insert_linkKopier link
2
Bjarne Nielsen
2. maj 2018 kl. 06:02

Løsningen hedder en nonce

Kun hvis der er tale om et replay attack.

Det lyder mere som om at nøglen virker som en slags automatisk transponder, og at angrebet laves i realtid, ved at få bil og nøgle til at tro, at de er tæt på hinanden. Her hjælper et nonce ikke.

Modtrækket ville i stedet være, ikke at låse op automatisk, men derimod forlange interaktion med nøglen ved oplåsning, på samme måde som den gestus som kræves for at låse. Mindre bekvemt, mere sikkert. Men nok mere bekvemt end lommer af sølvpapir.

  • more_vert
    • insert_linkKopier link
1
Martin Ørding-Thomsen
1. maj 2018 kl. 22:14

"BMW har sågar meldt ud, at der praktisk talt ikke er noget at gøre ved det." Løsningen hedder en nonce (https://en.wikipedia.org/wiki/Cryptographic_nonce). Det er dyrere at implementere, men kan sagtens laves. Men så længe forsikringen dækker biler der stjæles på den måde, så betyder det ikke så meget at sikkerheden er ringe.

  • more_vert
    • insert_linkKopier link