Artikel top billede

Hardware-hack sender de hurtigste BMW'er fra 0 til stjålet på to minutter

BMW forsøger nu at imødegå en bølge af tyverier begået med simple hardware-hacks. Tyvene bruger en gadget, som alle kan købe på nettet.

Britiske BMW-ejere får tilbud om opdatering af bilerne for at imødegå en bølge af biltyverier foretaget med hardware købt på nettet.

Hardwaren lader tyvene kode blanke nøgler, der kan oplåse og starte de fleste BMW-modeller.

Tyvene kan dermed køre af sted med enhver af de hurtige og kostbare biler i BMW's komplette modelprogram, som det tyske mærke sendte på gaden frem til efteråret 2011.

Metoden er så enkel, at den dårligt nok kan kaldes et hack, og den virker formentlig på de fleste andre bilmærker også.

Biltyveriet kræver adgang til bilens indre - hvilket de fleste biltyve med lidt snilde kan klare på få sekunder. Dernæst skal de bruge et stykke hardware, som man kan købe på nettet fra det polske firma VAG Info.

Firmaet sælger også blanke nøgler, og sådan nogle skal man også have en af (eller flere, afhængigt af graden af de tyvagtige ambitioner).

Hardwaren er en håndcomputer specialbygget til at programmere bilernes CAS-enheder (Control module car AccesS), der indeholder startspærrefunktionen.

Håndcomputeren indeholder en nøglelæser og kan bruges til at kode blanke nøgler. En beskrivelse af den polske hardware kan ses her, og der findes udførlige brugsanvisninger på YouTube (lavet af det polske firma selv), der viser, hvordan blanke nøgler kodes.

Hardwaren skal kobles til bilens OBD-stik (On Board Diagnostics).

Hardware-enhedens indlejrede software er forskellig fra mærke til mærke, og det samme gælder stikket, der passer til bilens OBD-udtag.

Som biltyv må man derfor på forhånd beslutte sig for, om man vil stjæle Opel, Volvo eller BMW - eller også købe en særskilt hardware-enhed til hvert mærke.

Det er dog uklart, hvordan og i hvilket omfang kodning af blanke nøgle til andre mærker end BMW virker. Det polske firma sælger hardware-enheder med mærke-bestemt software til kodning af nøgler via bilernes OBD til de fleste kendte bilmærker, fremgår det af firmaets hjemmeside.

Håndcomputeren fra VAG Info koster 8000 euro - altså over 60.000 kroner. Ifølge australske medier kan man hos diverse kinesiske firmaer købe det samme hardware for meget mindre - 30 australske dollars.
 
Så let er det
Det polske firma påtager sig intet ansvar for, om dets produkter bliver brugt til noget ulovligt. VAG Info oplyser, at firmaet kun sælger sine løsninger til professionelle autoværksteder.

Hackningen, hvis man kan kalde det sådan, består i at bestille og betale for varerne og modtage dem, selv om man ikke er et autoværksted, men en gemen biltyv. Man skal faktisk blot bruge et firmanavn og momsnummer, hvilket kan "lånes" fra så mange steder, som man gider slå op på nettet.

Fra man har koblet håndcomputeren til bilens OBD, tager kodningen af en ny blank nøgle få minutter.

BBC viste i sidste ug et program om tyveribølgen og timede, hvor hurtigt en blank nøgle kunne kodes, så man kan starte en bil med den. Det tog to minutter og tre sekunder.

Et britisk offer for biltyvene fangede et hold maskerede tyveknægte på et overvågningskamera, da de en nat stjal hans kostbare BMW 1 M.

Tyvene banker forsigtigt hul på ruden og får, stående udenfor, adgang til at koble nøglekodnings-hardwaren til bilens OBD-stik i førersiden. Efter cirka tre minutter har de en funktionsdygtig nøgle og kan låse bilen op. Tyvene skubber den væk fra gerningsstedet - formentlig for ikke at varsko ejeren med motorstøj - og er kort efter forsvundet.

Ifølge et indlæg på denne britiske bilside er der alene i et enkelt amt i Storbritannien stjålet 300 biler på én måned.

BMW UK udsendte forleden en erklæring om tyverierne. Heraf fremgår det, at de britiske BMW-ejere, der har modeller berørt af problemet (biler fra før september 2011) kan få et autoriseret værksted til at ændre på bilerne, så de ikke kan stjæles med det pågældende udstyr.

ComON har spurgt BMW Danmark, om man vil tilbyde samme service. Svaret var, at BMW Danmark ikke har hørt om den britiske tyveribølge, og at man ikke har modtaget nogle instrukser eller informationer om sagen fra BMW's hovedkvarter i Tyskland.

Flere bidragsydere på britiske debatfora anbefaler, at ejere af de berørte BMW-modeller får flyttet eller midlertidigt spærret OBD-stikket.

BMW UK gør opmærksom på, at man aldrig kan tyverisikre sin bil helt. Firmaet anbefaler som det sikreste, at ejeren parkerer sin bile ude af syne i en aflåst, overvåget garage.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Itm8 | IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere