Artikel top billede

Hardware-hack sender de hurtigste BMW'er fra 0 til stjålet på to minutter

BMW forsøger nu at imødegå en bølge af tyverier begået med simple hardware-hacks. Tyvene bruger en gadget, som alle kan købe på nettet.

Britiske BMW-ejere får tilbud om opdatering af bilerne for at imødegå en bølge af biltyverier foretaget med hardware købt på nettet.

Hardwaren lader tyvene kode blanke nøgler, der kan oplåse og starte de fleste BMW-modeller.

Tyvene kan dermed køre af sted med enhver af de hurtige og kostbare biler i BMW's komplette modelprogram, som det tyske mærke sendte på gaden frem til efteråret 2011.

Metoden er så enkel, at den dårligt nok kan kaldes et hack, og den virker formentlig på de fleste andre bilmærker også.

Biltyveriet kræver adgang til bilens indre - hvilket de fleste biltyve med lidt snilde kan klare på få sekunder. Dernæst skal de bruge et stykke hardware, som man kan købe på nettet fra det polske firma VAG Info.

Firmaet sælger også blanke nøgler, og sådan nogle skal man også have en af (eller flere, afhængigt af graden af de tyvagtige ambitioner).

Hardwaren er en håndcomputer specialbygget til at programmere bilernes CAS-enheder (Control module car AccesS), der indeholder startspærrefunktionen.

Håndcomputeren indeholder en nøglelæser og kan bruges til at kode blanke nøgler. En beskrivelse af den polske hardware kan ses her, og der findes udførlige brugsanvisninger på YouTube (lavet af det polske firma selv), der viser, hvordan blanke nøgler kodes.

Hardwaren skal kobles til bilens OBD-stik (On Board Diagnostics).

Hardware-enhedens indlejrede software er forskellig fra mærke til mærke, og det samme gælder stikket, der passer til bilens OBD-udtag.

Som biltyv må man derfor på forhånd beslutte sig for, om man vil stjæle Opel, Volvo eller BMW - eller også købe en særskilt hardware-enhed til hvert mærke.

Det er dog uklart, hvordan og i hvilket omfang kodning af blanke nøgle til andre mærker end BMW virker. Det polske firma sælger hardware-enheder med mærke-bestemt software til kodning af nøgler via bilernes OBD til de fleste kendte bilmærker, fremgår det af firmaets hjemmeside.

Håndcomputeren fra VAG Info koster 8000 euro - altså over 60.000 kroner. Ifølge australske medier kan man hos diverse kinesiske firmaer købe det samme hardware for meget mindre - 30 australske dollars.
 
Så let er det
Det polske firma påtager sig intet ansvar for, om dets produkter bliver brugt til noget ulovligt. VAG Info oplyser, at firmaet kun sælger sine løsninger til professionelle autoværksteder.

Hackningen, hvis man kan kalde det sådan, består i at bestille og betale for varerne og modtage dem, selv om man ikke er et autoværksted, men en gemen biltyv. Man skal faktisk blot bruge et firmanavn og momsnummer, hvilket kan "lånes" fra så mange steder, som man gider slå op på nettet.

Fra man har koblet håndcomputeren til bilens OBD, tager kodningen af en ny blank nøgle få minutter.

BBC viste i sidste ug et program om tyveribølgen og timede, hvor hurtigt en blank nøgle kunne kodes, så man kan starte en bil med den. Det tog to minutter og tre sekunder.

Et britisk offer for biltyvene fangede et hold maskerede tyveknægte på et overvågningskamera, da de en nat stjal hans kostbare BMW 1 M.

Tyvene banker forsigtigt hul på ruden og får, stående udenfor, adgang til at koble nøglekodnings-hardwaren til bilens OBD-stik i førersiden. Efter cirka tre minutter har de en funktionsdygtig nøgle og kan låse bilen op. Tyvene skubber den væk fra gerningsstedet - formentlig for ikke at varsko ejeren med motorstøj - og er kort efter forsvundet.

Ifølge et indlæg på denne britiske bilside er der alene i et enkelt amt i Storbritannien stjålet 300 biler på én måned.

BMW UK udsendte forleden en erklæring om tyverierne. Heraf fremgår det, at de britiske BMW-ejere, der har modeller berørt af problemet (biler fra før september 2011) kan få et autoriseret værksted til at ændre på bilerne, så de ikke kan stjæles med det pågældende udstyr.

ComON har spurgt BMW Danmark, om man vil tilbyde samme service. Svaret var, at BMW Danmark ikke har hørt om den britiske tyveribølge, og at man ikke har modtaget nogle instrukser eller informationer om sagen fra BMW's hovedkvarter i Tyskland.

Flere bidragsydere på britiske debatfora anbefaler, at ejere af de berørte BMW-modeller får flyttet eller midlertidigt spærret OBD-stikket.

BMW UK gør opmærksom på, at man aldrig kan tyverisikre sin bil helt. Firmaet anbefaler som det sikreste, at ejeren parkerer sin bile ude af syne i en aflåst, overvåget garage.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere