artikel

Autodieven foppen keyless-systeem, hoe werkt dat?

Techniek Premium 4286

In de ogen van de ruim veertig aanwezigen is het ongeloof te zien. “Gaat dat echt zo gemakkelijk?” “Ja”, zegt Henk van Vliet, terwijl de bijna € 140.000,- kostende Italiaanse bolide open springt en start, zonder de autosleutels in de buurt. Relay Attack op keyless-systemen wordt populairder als diefstalmethode. Hoe zit dat?

Autodieven foppen keyless-systeem, hoe werkt dat?
Stuk voor stuk een prooi voor het dievengilde met dank aan het voor Relay Attack gevoelige keyless-systeem. De Leon en A4 openen en starten in luttele seconden, de Mégane opent wel, maar start niet.

Gemak dient de mens, en zo ook keyless toegang tot de auto. En niet alleen toegang, ook het starten van de auto kan prima keyless, mits de sleutel in de buurt van of in de auto is. Al jaren zijn er signalen dat het systeem misbruikt wordt, en die toename ziet ook certificatie-instelling voor voertuigbeveiliging Kiwa SCM. Is het echt zo makkelijk, het keyless-systeem foppen? Ja, zo demonstreert Henk van Vliet de ongeveer veertig aanwezigen bij het ‘Gone in 20 seconds’-evenement, georganiseerd door inbouwstation Arendse Car Systems in Duiven.

Diefstalmethodes veranderen

Henk van Vliet, certificatiemanager van KIWA SCM, licht diefstalmethodes van vroeger en nu toe.

Henk van Vliet is certificatiemanager van Kiwa SCM en start met een presentatie over de diefstalmethodes van vroeger en nu. Van Vliet: “U kent allemaal wel de film Gone in 60 seconds. Een film van het jaar 2000 waarin vele auto’s binnen een minuut werden gestolen. De diefstalmethodes die in die film waren te zien, waren echte methodes. Een Ford Thunderbird werd bijvoorbeeld gestolen door aluminiumfolie om het knipperlicht te doen. Hierdoor ontstond kortsluiting en daarmee ging het alarm uit.”

“Het alarmsysteem was destijds goedgekeurd, maar toen bleek dat het gevoelig was voor deze methode, werden de keuringseisen aangepast. Die wedloop is en zal er altijd zijn tussen fabrikanten en de ‘onderwereld’”, zegt Van Vliet.

“Grappig hoe dat toen zo simpel kon”, zegt een van de aanwezigen. Van Vliet lacht. “Wacht maar tot de Relay Attack-demonstratie straks. In de film duurde het meenemen van een auto nog zo’n 60 seconden. Nu is de diefstaltijd teruggebracht naar 20 seconden, of zelfs nog minder.”

Van Vliet vervolgt: “Wie wat ouder is, weet nog wel dat je met een dubbeltje een Golf kon ontgrendelen. Tegenwoordig werkt dat niet meer, maar ‘morrelen’ met het slot gebeurt nog steeds. Daar hebben ze een ‘Turbotool’ voor. Een tool van zo’n achthonderd euro waarmee je alle sloten van een VW open maakt, of van bijvoorbeeld BMW. Deze tool wordt nog steeds veel gebruikt om toegang te krijgen tot de auto”, benadrukt van Vliet.

De ‘swop’-techniek is populair bij de Golf VI

Elektronica gewisseld

In de film werd ook de ‘Swop’-techniek gebruikt. Bij diverse Ferrari’s openden ze de motorkap, plaatsen een eigen versie van het motormanagement en konden er zo met de auto’s vandoor. Van Vliet: “Bestaat niet meer? Het is al jaren dé diefstalmethode bij de Golf VI. Ze hebben een sleutel, sleutelontvanger en een stukje elektronica. Hiermee foppen ze de auto-elektronica. De Golf VI is inmiddels al een oudere auto, maar de onderdelen zijn erg gemakkelijk te verkopen. En daarmee nog steeds interessant voor het boevengilde. Spotten ze een Golf VI met duur lederen interieur of zonnedak, dan zijn ze een minuut bezig en de auto is weg. Dit kost dus nog wel wat tijd.”

Diefstalcijfers

Stichting Aanpak Voertuigcriminaliteit (Stavc) publiceert de cijfers omtrent autodiefstal. Het aantal gestolen auto’s daalt, dat is een feit. Het eerste half jaar met 14 procent ten opzichte van 2017. Maar toch werden ruim 3.600 stuks in het eerste halfjaar gestolen (PDF). Op bestelling? Er wordt gewerkt aan inzicht in modeltype. De modellen met het hoogste diefstalrisico zijn de Toyota RAV4, VW Polo, BMW 3 Serie en VW Golf. Meest gestolen merken zijn VW, BMW, Audi, Toyota en Renault.
Opvallend is dat vooral hybride-modellen erg in trek zijn. Stavc meldt tevens dat het manipuleren van keyless-systemen inmiddels vaker voorkomt dan het intikken van een autoruit.Kiwa SCM werkt derhalve aan nieuwe keuringsvoorschriften, waarbij men strenger wil optreden tegen de gevoeligheid voor Relay Attack. In 2019 wordt daar meer van verwacht.

 

Onderdelendiefstal is hot

Hoewel het aantal diefstallen van auto’s daalt (zie kader), blijven interieurdelen bijzondere gewild bij dieven. Van Vliet: “Het RNS510-multimediasysteem is nog steeds een erg populair systeem en vind je terug in diverse modellen van Volkswagen, Audi, Seat en Skoda. Een belangrijk zwak punt maakt dit systeem aantrekkelijk: het is uitwisselbaar. Steel een RNS510 uit een Golf en je plaatst hem zo in een Audi A3. Als je nu op diverse vraag- en aanbodwebsites kijkt, zie je een paar honderd van deze systemen te koop staan. Hoeveel daarvan zouden er eerlijk zijn?” “Eentje!”, zegt een van de aanwezigen. “Eh tja, misschien eentje”, zegt van Vliet. “De prijs die de importeur betaalt om het te kunnen verkopen is € 1.499,-, en op Marktplaats vind je ze vanaf € 400,-. Het is te bizar voor woorden dat het kan.”

Andere populaire onderdelen zijn stuurdelen, airbags en lichtmetalen wielen. Van Vliet: “Heb je een Audi A3 met S-line sportstuur? Is die bij u nog niet gestolen? Dan verzeker ik u, dat gebeurt binnen een jaar. Oh, en ze komen gerust een paar maanden later weer terug om de nieuwe ook weer op te halen.”

Middels Relay attack wordt het keyless-signaal tot 1 km van de sleutel verstuurd

Drie moderne diefstalmethoden

Van Vliet sluit af met drie moderne diefstalmethodes waarvan Kiwa SCM heeft kunnen vaststellen dat ze mogelijk zijn én op dit moment gebruikt worden. De eerste methode heet Relay Attack en geldt voor voertuigen met keyless-sleutels. Auto’s die je kan openen en starten zonder de sleutel te bedienen. Dat zijn sleutels die dieven kunnen manipuleren middels twee elektronische kastjes. Hoe?

Van Vliet: “Zie het als een signaalversterker die in twee richtingen werkt. Het ene kastje houden ze in de buurt van de sleutel. De afstand mag maximaal zes meter zijn. Veelal genoeg om de sleutel die in de keuken of in de gang ligt te bereiken vanaf de voordeur of een raam.” Het andere kastje is bij de auto, waarbij de afstand tussen beide kastjes tot één kilometer mag bedragen.
Het kastje dat bij je voordeur of voorgevel wordt gehouden, activeert de sleutel.

De keyless autosleutels in een doos met twee kastjes (twee frequentiebanden) erbij. Deze blijft midden in het pand. De kastjes verzorgen de communicatie tussen het kastje bij de auto en de sleutel.

Van Vliet: “De sleutel zelf zendt niet constant een signaal uit maar kan ‘wakker worden’ door een roepsignaal van de auto. De meeste auto’s met keyless-systeem versturen zo’n roepsignaal zodra je de portiergreep aanraakt. Dit signaal gaat van het kastje bij de auto naar het tweede kastje. Deze geeft het roepsignaal door aan de sleutel die binnen ligt. Vervolgens antwoordt de sleutel, en dit signaal wordt vervolgens tot een kilometer verder weer
afgespeeld. De auto opent, en niet veel later start hij vaak ook. Dit gaan we straks live demonstreren. Deze diefstalmethode is sneller dan 20 seconden kan ik u vertellen.”

Hoe serieus is het gevaar? “Groeiend”, benadrukt Van Vliet. “Het is breed beschikbaar. Voor € 15.000,- koop je via Alibaba zo’n systeem. Okee, de werking is niet gegarandeerd. En als je verder leest staat er keurig bij dat je het niet mag gebruiken om auto’s te stelen. Tja…”

Kat- en muisspel

Autofabrikanten werken aan oplossingen voor het keyless-probleem, maar dit kost tijd. Mercedes levert een keylesssleutel inclusief bewegingssensor. Ligt de sleutel een tijdje stil, dan zendt deze geen signaal meer uit totdat de sleutel weer in beweging komt, bijvoorbeeld bij het oppakken. Ook BMW biedt een verbeterde keyless-sleutel, en ook Audi werkt aan oplossingen.
Ben je met zo’n nieuwe sleutel wel safe? Thuis wel, onderweg loop je nog steeds kans dat het sleutelsignaal wordt afgevangen. Het kastje kan tenslotte in een rugzak van iemand bij je in de buurt zitten.

Databusmanipulatie

Middels CAN-busmanipulatie is bij elke BMW van vóór 2012 een nieuwe sleutel in te leren zonder de originele sleutel daarbij nodig te hebben.

Een andere methode is databusmanipulatie. Van Vliet: “Het klinkt ingewikkeld, maar je koopt een tooltje van internet en die sluit je aan op de OBD-poort van de auto. Op dat moment gaat de auto zijn gegevens afgeven aan het apparaatje en die schrijft dat in een blanco sleutel. Met dit apparaatje hoeft het contact ook niet aan, wat een verschil is ten opzichte van de werkwijze bij de dealer. Deze methode is daadwerkelijk in zo’n twintig seconden geklaard op élke BMW tot 2012. Je hebt dan een auto én sleutel. Dat verkoopt redelijk makkelijk iets onder de marktwaarde via bijvoorbeeld Marktplaats. En de volgende ochtend? Dan ga je hem gewoon weer ophalen.”

“Maar je moet wel eerst ín de auto komen”, merkt een van de bezoekers op. “Anders kom je niet bij de OBD-poort.” Dat klopt, beaamt Van Vliet: “Die methode heet de stoeptegelmethode. Of je koopt de Turbotool natuurlijk.” Ook het onklaar maken van de startonderbreker gebeurt nog altijd veel middels zogenoemde immo-killers.

Signaal verstoring

Bij duurdere auto’s eisen verzekeraars steeds vaker een voertuigvolgsysteem. Ook daar heeft het boevengilde wat op bedacht: jamming, wat niets meer is dan het telefoonsignaal verstoren. Van Vliet: “Het voertuigvolgsysteem wil doorgeven dat de auto gestolen is, op de A12 in oostelijke richting rijdt en doet dat via het GSM-netwerk. Dat lukt dan niet. De ‘jamming’-methode wordt door alle dieven gebruikt. Of beter gezegd, de politie pakt geen dief op zónder.”

Hebben we dan alles gehad? Nee, tegenwoordig hebben veel automerken apps. Kiwa SCM ziet dat dieven hier ook steeds meer belangstelling voor hebben. Via sommige apps kun je namelijk auto’s open, sluiten en zelfs starten. En nog handiger, de exacte locatie is ook zichtbaar. Het vergt oplettendheid van zowel de fabrikant als de consument.

Live demonstratie

Het is tijd voor de demonstratie op de vele auto’s in en om het pand van Arendse Car Systems van zowel bezoekers als autobedrijven uit de omgeving. We starten bij de 2018 Alfa Romeo Stelvio Q (€ 136.000,-). Voor elke auto geldt dat het even zoeken is naar de antennepositie. Van Vliet: “De dieven weten uiteraard perfect waar de antenne zich bevindt.” Niettemin, na even proberen vindt Van Vliet de antenne halverwege de deur en ‘klik’, de Alfa springt open. Nu nog starten. Lukt dat? Het is ook nu even zoeken, maar al snel klinkt het mooie gebrom van de Quadrifoglio. Gelukt dus.

Na het vinden van de antenne is het openen van deze €136.000,- kostende Stelvio Q een peulenschil. En de auto start ook net zo snel.

 

 

Door naar de Jaguar F-pace. Deze weigert te openen. Van Vliet: “Oudere Range Rovers, Jaguars en Jeeps zijn gevoelig voor Relay Attack, gelukkig zien we nu een voorbeeld van hoe de fabrikant deze diefstalmethode te lijf gaat. Ik weet dat Jaguar sinds kort checkt hoe lang het signaal tussen de sleutel en de auto onderweg is. Duurt dat te lang (dit gaat over milliseconden), dan weigert de auto mee te werken.”

Sesam open u

De demonstratie bij deze auto’s verloopt zoals verwacht. De Tesla Model X van 2018 heeft sindskort via een ‘over-the-air’-update een tweede authenticatie. Er moet op het display een pincode worden ingevoerd voor het starten.

Door naar een rijtje middenklassers. Allereerst een Seat Leon ST in FR-trim, toch al snel dik 35 mille waard. De antenne is snel gevonden, zowel voor het openen, als voor daarna het starten. Deze Leon is echt, met kennis van antenneposities, binnen tien seconden weg. En zo geldt dat ook voor de aanwezige Skoda Superb en Audi A4 die de techniek delen binnen het VAG-concern.
Van Vliet: “Vooral automodellen met techniek van voor 2016 zien we als potentiële risicofactoren. Van voor onderdelen interessante uitvoeringen tot unieke of snelle uitvoeringen.”

Video: Seat Leon opent zónder sleutel

Video: Seat Leon opent zónder sleutel

Ook Renault gebruikt al vele jaren keyless-sleutels, en ook deze modellen zijn gevoelig. De 2018 Mégane IV GT van de AMT-hoofdredacteur blijft dan ook zeker niet gesloten. Binnen twee seconden openen de portieren, terwijl de sleutel toch echt in het pand van Arendse ligt. Van Vliet: “Er is ook goed nieuws, deze 2018-Mégane start niet op dezelfde frequentie als het openen. Maar dat is slechts een kwestie van tijd. Het boevengilde heeft ongetwijfeld al lang kastjes die ook deze frequentie aan kunnen.”

De Tesla Model X ter plaatse heeft sinds enige tijd, met dank aan een over-the-air-update, een tweede verificatie. Voor het kunnen starten is een pincode vereist. Van Vliet: “De beste bescherming is een tweede, onafhankelijke autorisatie. Dat kan middels zo’n pincode, of via een onafhankelijk van de auto werkend systeem.”

Doei, Porsche 911

In de werkplaats van Arendse Car Systems treffen we tot slot een Porsche 911 Turbo 4S aan. Een zeer vlotte uitvoering (427 kW) met een catalogusprijs van bijna € 280.000,-. En, voorzien van VAG-techniek. Van Vliet: “Deze auto is voorzien van het af-fabriek alarmsysteem. Helpt dat?” Nee, zo blijkt. Het alarm schakelt zich keurig uit omdat de auto denkt dat de sleutel aanwezig is. Van Vliet: “Hou alvast de oren dicht, want binnen een paar seconden gaat het aftermarket-alarm en volgsysteem in werking.”

Deze bijna € 280.000 kostende Porsche 911 Turbo 4S is voorzien van een af-fabriek alarmsysteem én aftermarket systeem. Het fabriekssysteem gaat namelijk uit bij een Relay Attack.

Het is duidelijk, de fabrieksbeveiliging voldoet niet, een extern alarm wel. De eigenaar van de auto: “Het af-fabriek systeem zou afdoende zijn voor de verzekering, maar wat heb ik eraan als de auto alsnog wordt meegenomen? Daarom heb ik gekozen voor een extra systeem. Knappe jongen die er nu nog ongezien mee weg komt.”

Hoe help je je klant?

Eigenaren Jessica en Remond Arendse van inbouwstation Arendse Car Systems in Duiven organiseerden voor hun klanten en relaties het Gone in 20-seconds evenement. Doel? Bewustwording van de risico’s van autodiefstal en uiteraard precentiemogelijkheden tonen.

Alle auto’s zijn kwetsbaar voor inbraak of diefstal. En ook al is de auto goed verzekerd, vervelend is het zeker. Vaak wachten verzekeraars
dertig dagen met uitkeren. En is er wel een gelijkwaardige auto weer te koop? Verlies je je lage bijtellingsklasse? Kortom, het geeft gedoe. Welke mogelijkheden zijn er?

1) Schakel keyless uit. Soms kan dit in het menu, of anders met een diagnosetester.
2) Bewaar de keylesssleutel thuis in een koekblik. Hiermee komt het signaal niet naar buiten dankzij de ‘kooi van Faraday’. Buitenshuis is dit wel een stuk lastiger.
3) Externe beveiliging zoals een alarmsysteem dat buiten de auto om werkt. Nadeel: het gemak van keyless wordt daarmee beperkt.
4) Mechanische beveiliging is ook nog een optie. Van een stuurslot tot OBD-slot.Daarnaast zijn alarmsystemen verkrijgbaar in diverse variaties. Van hellings- en interieurdetectie, tot voertuigvolgsystemen. Kiwa SCM-gecertificeerde inbouwstations kunnen je er verder over informeren.

Reageer op dit artikel