Een paar weken geleden had ik in de rubriek En in de grote boze buitenwereld… een link opgenomen naar een blog van Google, waarin ze aankondigden dat je over een tijdje een digitale autosleutel in je Android-telefoon kunt opslaan. Wist ik veel dat zoiets allang bestaat, maar dan automerk-specifiek. Een lezer attendeerde mij daarop en voorzag me van een paar handige linkjes. Gevraagde tegenprestatie: vind hier eens iets van.
De auto in kwestie, de Ford Mustang
Mach-E, kun je op drie verschillende manieren openen: met de elektronische
sleutel, met je telefoon en met een pincode. Een sleutelgat is er niet. Die
eerste optie ken ik van mijn eigen auto. Lekker makkelijk, want je kunt de
sleutel op zak houden. Je drukt op een knopje op het portier, de auto checkt of
de juiste sleutel in de buurt is en de sloten springen open. En zo’n auto start
je vervolgens niet met de sleutel in het contactslot, maar door op de startknop
te drukken. Wederom controleert de auto op de aanwezigheid van de sleutel en
daar ga je. Dergelijke sleutels bewaar je thuis het beste in een gesloten
blikje, want er zijn autodieven die apparatuur hebben waarmee ze – dwars door
jouw voordeur – het signaal van de sleutel ‘verlengen’ tot aan de auto op je
oprit. Het blikje, dat fungeert als kooi van Faraday, steekt daar een stokje
voor.
Maar omdat we tegenwoordig alles met onze
telefoon lijken te willen doen, moest ook de autobediening in een app gestopt
worden. Phone as a Key (PaaK) noemen
ze dat. Zo’n app werkt net als je elektronische autosleutel, maar je kunt er de
auto ook op afstand mee openen en starten (binnen de reikwijdte van Bluetooth).
Ik ga ervan uit dat dit met een versleuteld Bluetooth-signaal werkt, want
anders zou een dief het signaal van jouw telefoon kunnen opvangen en het daarna
zelf gebruiken om je auto te openen en ermee weg te rijden.
Vanuit beveiligingsoptiek vind ik de
derde optie om in de auto te komen het interessants: een vijfcijferige pincode.
Eigenlijk bedoeld voor als je telefoon leeg is, maar er zijn mensen die altijd
de pincode gebruiken, zo valt op autofora te lezen. De sleutel laten ze thuis
en de telefoon sluiten ze op in de auto als ze naar het strand gaan. Het
touchpad in de deurstijl van de Mustang kent tien cijfers, maar ze staan in
koppels. Daar is 1 en 2 hetzelfde, net als 3 en 4, enzovoorts. Dat levert je
slechts 55 = 3125 mogelijke combinaties op. Gelukkig
zit er wel een time-out op: tik vijf keer een foute code in en je moet vijf
minuten wachten. Stel voor het gemak even dat je vijf codes per minuut kunt
proberen, dan heb je gemiddeld dik vier uur nodig om zo’n auto te brute-forcen
(domweg proberen de code te kraken). Dat lijkt me voldoende vertraging als je
auto ergens staat waar genoeg mensen langskomen (tenzij de dief wel erg brutaal
is), maar wat als je auto twee weken lang op zo’n immens groot parkeerterrein
op Schiphol staat? Gelukkig kun je dat toetsenbordje ook uitschakelen.
De grootste bedreiging voor je auto zijn overigens je vingers. Als je de
auto met de pincode opent, dan laten die vingers namelijk vetsporen achter op
de deurstijl. Je kunt dan gemakkelijk zien uit welke cijfers de code bestaat.
Vervolgens hoef je die alleen nog maar in de juiste volgorde te zetten. Vijf
vettige vingerafdrukken kunnen in 120 verschillende volgordes worden gezet. Als
de pincode 14629 is, dan zie je slechts vier vingerafdrukken, de 1 en de 2
zitten immers op dezelfde plek. Dat wordt beloond met vijf keer zoveel
mogelijkheden: de autokraker kijkt tegen 600 verschillende mogelijkheden aan,
waarvan hij gemiddeld de helft zal moeten proberen om succes te hebben. Dat
kost je dan een klein uur. Bij vijf verschillende cijfers is hij al na
gemiddeld tien en maximaal twintig minuten binnen. Maar hij kan natuurlijk ook heel
ouderwets een ruitje intikken en die laptop van de achterbank grissen. Zonder
sleutel of gekoppelde telefoon neemt hij de auto zelf trouwens niet mee. Maar
ja, die strandganger had z’n sleutel en/of telefoon in het handschoenkastje
gelegd om ze niet kwijt te raken…
Dus, als je een dergelijke auto hebt (het hoeft geen Mustang te zijn):
sleutel thuis in een gesloten blikje bewaren, je telefoon niet kwijtraken en
altijd een poetsdoekje bij de hand houden om je vingerafdrukken weg te vegen.
En niet naar het strand gaan.
En in de grote boze buitenwereld …
- moeten er honderden miljoenen in onze cyberweerbaarheid gepompt worden.
- werken criminelen ook steeds vaker thuis.
- kun je er kennelijk over twisten of een zoekmachine voor wachtwoorden crimineel is.
- wist de FBI Apple er niet toe te bewegen om de iPhone van een schutter te kraken, maar een Australisch bedrijf deed dat wel.
- wordt de internetjurist niet bepaald blij van glurende werkgevers.
- gaat de FBI computers ‘hacken’ om schadelijke restanten van hacks op Microsoft Exchange te verwijderen. (De Nederlandse politie deed eerder iets soortgelijks.)
- kampt de Amerikaanse overheid zelf ook nog met achterstallig Exchange-onderhoud.
- weigert Facebook zijn leden te informeren over het grote datalek.
- blokkeert zoekmachine DuckDuckGo een als privacyvriendelijk bedoeld initiatief van Google, omdat volgens hen niet privacyvriendelijk is.
- kun je natuurlijk ook blockchains hacken.
- zijn zo’n beetje alle klantgegevens van Allekabels uitgelekt, inclusief wachtwoorden en bankrekeningnummers.
- is dit weliswaar een kleiner datalek, maar dan wel weer met inkomens.
Geen opmerkingen:
Een reactie posten