Samy Kamkar har utviklet en liten maskin som kan låse opp de fleste moderne biler med et enkelt tastetrykk.
Vi er på DEFCON, verdens største hackerkonferanse, og et av de store temaene i år er bilsikkerhet.
Etter at det for noen uker siden ble avslørt at nyere biler fra Fiat Chrysler-konsernet kan hackes over nettet, venter DEFCONs deltakere spent på hva som blir den neste avsløringen.
Samy Kamkar, et navn mange kanskje kjenner igjen fra MySpace-viruset Samy, har nå laget en liten dings som er i stand til å låse opp de fleste moderne biler.
For å forstå hvordan han gjør det, er det nødvendig å ha litt bakgrunnskunnskap om hva som skjer når du trykker på “lås opp”-knappen på bilnøkkelen din. Heng på de neste fem avsnittene:
Bilen og bilnøkkelen din kommuniserer over en ganske lav radiofrekvens, i Europa går dette vanligvis på 433 Mhz-båndet. Når du trykker på knappen på nøkkelen, sender nøkkelen en kode til bilen. De fleste bilprodusentene benytter seg av rullerende koder, som ikke er så fryktelig ulikt hvordan BankID fungerer.
Hver gang du trykker på nøkkelen, sender den en kode som er ulik den forrige. Bilen og nøkkelen er programmert med en felles kodereferanse som gjør det mulig å for bilen å verifisere at tallkoden som sendes, faktisk kommer fra riktig nøkkel. Når denne transaksjonen har funnet sted, er den sendte koden oppbrukt – hvis den sendes på nytt, blir den avslått av bilen.
En måte man enkelt kan omgå denne sikkerhetsbarrieren på, er å “ta opp” signalet fra nøkkelen mens bilen er utenfor rekkevidde. Dette gjøres ved å bruke en programvare-definert radio (software defined radio), som er en radio som er i stand til å lytte på en vilkårlig radiofrekvens. Hvis man da stiller denne radioen inn på nøkkelens frekvens, og trykker på nøkkelen, har man i praksis tatt opp koden som kreves for å låse opp bilen.
Mange av disse radioene, som for eksempel HackRF, er to-veis, og er dermed i stand til å også sende radiosignaler.
NRKbeta testet dette tidligere i år på redaktør Marius Arnesens Volkswagen Caddy. Marius trykket på nøkkelen i kontorlokalet, og undertegnede lyttet på frekvensen med en HackRF. Bilen hadde dermed ikke fått med seg koden, som betyr at den fortsatt var gyldig. Etterpå tok vi med oss HackRF-radioen og en datamaskin i nærheten av bilen, og spilte av koden vi tidligere hadde tatt opp. Og resultatet? Bilen låste seg selvfølgelig opp.
Og det er nettopp denne svakheten Samy Kamkar utnytter med sin dings, som heter RollJam. Det geniale bak RollJam er at den inneholder to radioer: Den ene sender et støysignal, som gjør at bilen ikke mottar koden fra nøkkelen, selv om den er innenfor rekkevidde. Den andre radioen filtrerer bort støyen til den første radioen, og plukker opp kodesignalet sendt fra nøkkelen.
Og det er nok ganske konvensjonell menneskelig adferd å trykke på nøkkelen én gang til hvis bilen ikke låste seg opp ved første trykk. Da slår RollJam inn: Når RollJam merker at det sendes en ny kode, sender RollJam den første koden videre til bilen, og lagrer den siste.
Dette gjør RollJam for å omgå en sikkerhetsbarriere i nøkkelsystemet, som invaliderer alle eldre koder når den har mottatt en ny.
I sitt foredrag her på DEFCON sier Samy Kamkar at han har testet RollJam på en rekke biler, og hevder at produktet tilsynelatende fungerer på mer eller mindre samtlige moderne biler.
Kamkar har ingen planer om å frigi RollJam som et kommersielt produkt, men sier at delene for å bygge enheten koster rundt 35 amerikanske dollar, eller 300 kroner. Oppskriften ligger fritt tilgjengelig på nettet.