Onderzoekers van de COSIC-onderzoeksgroep aan de KU Leuven hebben een kritieke kwetsbaarheid gevonden bij contactloze autosleutels.
Een nieuwe studie van de COSIC-onderzoeksgroep aan KU Leuven en de universiteit van Bermingham hebben een kritieke kwetsbaarheid bij contactloze autosleutels gevonden. De kwetsbaarheid werd tot nu toe al ontdekt bij Tesla, Kia, Hyundai en Toyota. Maar mogelijks hebben ook andere automerken dit probleem.
Hacking via DST40-cryptografie
De nieuwe studie toont aan dat er een fout zit in de beveiliging van de DST40-encryptie bij de startonderbrekers van verschillende automerken. Dat algoritme wordt gebruikt door onder andere Toyota, Tesla, Kia en Hyundai. Maar momenteel denken de onderzoekers ook dat andere automerken met dit probleem zitten. Volgens de wetenschappers van COSIC gaat het om miljoenen wagens die tussen 2008 en vandaag gebouwd zijn. De wetenschappers pleiten ook voor meer security. Iets wat heel de autosector jaren links heeft laten liggen.
De tabel hieronder geeft een overzicht van de getroffen modellen (in het vet staan de modellen die de wetenschappers onderzochten). Tesla heeft het probleem met zijn contactloze autosleutelsleutel inmiddels opgelost via een draadloze software-update voor alle getroffen autosleutels.
| Merk | Periode | Model |
| Toyota | 2009-2013 | Auris (2011) |
| 2010-2013 | Camry | |
| 2010-2014 | Corolla | |
| 2011-2016 | FJ Cruiser | |
| 2009-2015 | Fortuner | |
| 2010+ | Hiace | |
| 2008-2013 | Highlancer | |
| 2009-2015 | Hilux (2014) | |
| 2009-2015 | Land Cruiser | |
| 2011-2012 | RAV4 | |
| 2010-2014 | Urban Cruiser | |
| Tesla | 06/2018-07/2019 | Model S (2018) |
| Kia | 2012+ | Ceed (2016) |
| 2014 | Carens (2014) | |
| 2011-2017 | Rio | |
| 2013+ | Soul | |
| 2013-2015 | Optima | |
| 2011+ | Picanto | |
| Hyundai | 2008+ | I10 |
| 2009+ | I20 | |
| 2010+ | Veloster | |
| 2013 | I40 (2013) | |
| 2016 | IX20 (2016) |
Ook Tesla getroffen
Bij de getroffen modellen zit ook Tesla’s Model S dat tussen 2018 en 2019 gebouwd werd. “De sleutel van de Tesla Model S was kwetsbaar voor een downgrade-aanval, waardoor we maar de helft van de cryptografische code nodig hadden om de autosleutel via een ouder, onbeveiligd cijfer aan de praat te krijgen”, vertelt professor Bart Preneel van COSIC. “Een aanvaller kan de contactloze sleutel dus dat onbeveiligde cijfer laten gebruiken om de volledige code in enkele seconden achterhalen.” Het probleem werd ontdekt in een nieuwe versie van de Tesla Model S-sleutel die werd uitgebracht na een eerder beveiligingsprobleem dat het team ontdekte. Tesla loste het downgradeprobleem in augustus 2019 op via een draadloze software-update.
“Naast Tesla hebben we ook Toyota, Kia en Hyundai op de hoogte gebracht en hen elk een individueel rapport bezorgd”, zegt Lennert Wouters, de eerste auteur van het onderzoek. “Alle betrokken fabrikanten reageerden snel
