Ethische hacker waarschuwt: "Hoe meer technologie in de auto, hoe groter het risico op diefstal"

“Hoe meer elektrische auto’s, hoe meer technologie erin zit. Die nieuwe technologische auto’s komen met meer gemak en luxe, maar ook met een hogere kans op misbruik.” Dat vertelt Tom Van de Wiele. De ethische hacker werkt vanuit Kopenhagen voor WithSecure, een bedrijf dat betaald wordt om te proberen systemen te hacken om te wijzen op de zwakke plekken in technologie. In onze podcast "Het uur van de waarheid" legt hij uit hoe meer software tot een grotere kans op uitbuiting – of hacking – kan leiden.

Recent toonde een golf van autodiefstallen in meerdere Amerikaanse steden aan hoe dieven de software van auto’s konden hacken. Daarbij hebben jongeren – de zogenoemde Kia Boys – het vooral op Kia’s en Hyundai’s gemunt. Via video’s op TikTok tonen zij hoe de software van die voertuigen gemakkelijk kon worden gehackt.

“Het gaat om een fout in de serie van deze merken”, aldus Van de Wiele. “Het bleek mogelijk om met een schroevendraaier een stuk plastic onder de stuurkolom te verwijderen. Vervolgens moesten ze enkel nog een willekeurige usb-kabel inpluggen." Het systeem van de auto dacht dat het voertuig zich in de garage van de verdeler bevond en de dief kon ermee wegrijden.

Meer dan 1.000 Kia’s en Hyundai’s werden op deze manier gestolen in de VS. In Europa zou het probleem volgens de woordvoerders niet spelen omdat er gebruikgemaakt wordt van een andere software. Maar had de fabrikant van de wagens het probleem dan niet kunnen voorzien?

“Het probleem is dat autofabrikanten doorgaans werken met misschien wel honderden toeleveringsbedrijven”, vertelt Van de Wiele. “Die toeleveringsbedrijven voeren wel individuele testen uit, maar er worden niet genoeg testen uitgevoerd op de combinatie van verschillende onderdelen. Niemand had in dit geval bijvoorbeeld gemerkt dat je zowel het plastic kon verwijderen én een usb kon inpluggen om de auto te doen denken dat een garagist aan de auto bezig is. De som van de onderdelen wordt meestal niet getest.”

Het probleem met hackers situeert zich overigens niet enkel bij Kia of Hyundai. Ook de sleutelloze auto’s blijken een makkelijke prooi voor dieven, zo blijkt. “Dit is een van de vaakst gebruikte technieken aan het worden”, klinkt het. 

“Bij de meeste moderne auto’s staat de sleutel voortdurend in verbinding met de auto. Als de sleutel te ver weggaat, sluiten de deuren. Maar dieven maken gebruik van een signaalversterker, waarmee ze buiten je huis het signaal van je sleutel kunnen opvangen. Zo rijden ze weg zonder schade.”

Die versterkers zijn bovendien tegen een zacht prijsje te verkrijgen op de zwarte markt, aldus de hacker. “Ze kosten misschien tussen de 20 en 50 euro.”

Moet iedereen met een sleutelloze auto voortaan panikeren? “Niet elke auto reageert er natuurlijk op en bovendien heeft elke auto een andere frequentie of andere verdedigingssystemen”, aldus Van de Wiele.

“We zien ook dat fabrikanten systemen ontwikkelen waarbij ze bijvoorbeeld nagaan hoelang het duurt vooraleer een sleutel reageert op een signaal. Duurt dat te lang, dan vermoeden ze dat iemand iets verdachts aan het doen is. We zien dat automakers die enkel elektrische auto’s vervaardigen, vaak verder staan met dat soort technologieën. Zij maken hun technologie doorgaans zelf en hangen minder af van toeleveringsbedrijven.”

“De grootste elektrische autobedrijven, zoals Tesla of de Chinese autofabrikant BYD Auto, weten en verwachten bovendien dat er lekken gaan zijn, want elektrische auto’s zijn in principe computers op wielen. Onder andere deze merken staan voor op het vlak van autobeveiliging. Zij regelen bescherming door bijvoorbeeld nog een pincode in de auto. Anderen experimenteren met een vingerafdruk als bescherming.”

Elke auto heeft veiligheidslekken, benadrukt de hacker. “Maar de vraag is op welke manier de fabrikanten hierop reageren. In het algemeen is het van belang dat we als consument eisen dat dit extra beveiligd wordt. Vandaag schuiven de fabrikanten de problemen vaak nog af op de toeleveranciers, maar zij moeten ook zelf meer verantwoordelijkheid tonen.”

"Daarbovenop is het ook belangrijk om kennis te hebben van de risico’s en te begrijpen waar de mogelijkheden van technologie stoppen en waar gezond verstand begint", besluit de hacker. "We moeten niet technologieschuw worden."