ANP/NOVUM COPYRIGHT VENEMA MEDIA

Nederlandse beveiligingsonderzoekers zijn erin geslaagd om meerdere slimme verkeerslichten om de tuin te leiden. Zo konden ze groen licht krijgen zonder dat ze in de buurt van het stoplicht waren.

Steeds meer kruispunten in Nederland krijgen internetstoplichten die het verkeer slimmer kunnen regelen. Zo kan bepaald verkeer voorrang krijgen en hoeven mensen minder vaak af te remmen en op te trekken.

Maar in ieder geval een deel van de stoplichten kon worden gemanipuleerd. "Bij de stoplichten die wij onderzochten, controleerde niemand of je bent wie je zegt dat je bent", zegt Wesley Neelen van beveiligingsbedrijf Zolder. Hij kon zich daardoor op afstand voordoen als fietser die op een stoplicht af kwam fietsen.

De hackers doen hun bevindingen vandaag uit de doeken op de vermaarde internationale beveiligingsconferentie Def Con, die vanwege de coronacrisis virtueel wordt gehouden.

Apps

De verkeerslichten die de onderzoekers onderzochten, maken gebruik van apps die fietsers kunnen installeren. Hun locatie wordt daarmee doorgegeven aan de stoplichten. Die weten daardoor dat ze eraan komen en kunnen alvast rekening houden met hun komst.

In de NOS op 3 Tech Podcast vertellen Wesley Neelen en Rik van Duijn over hun onderzoek. Beluister het in uw favoriete podcast-app of in de player hieronder:

Beluister de NOS op 3 Tech Podcast

Maar Neelen en zijn collega Rik van Duijn konden de pakketjes die de app verstuurt, nabootsen. "Daarmee konden we vervolgens onbeperkt zogenaamd fietsen richting een stoplicht sturen", vertelt Neelen.

"We denken dat nu meer dan honderd stoplichten hiervoor vatbaar waren", zegt Van Duijn. Het gaat deels nog om testopstellingen, die wel daadwerkelijk verkeer regelen.

Zo ziet de manipulatie er in de praktijk uit:

Vooralsnog werkte de aanval van de onderzoekers alleen voor fietsers. "We hebben nu geen aanwijzingen dat je ook andere weggebruikers kunt nabootsen", zegt onderzoeker Van Duijn.

In theorie zou dat moeten kunnen. "We hebben wel geprobeerd om van een fiets een auto te maken, maar dat is niet gelukt", zegt Van Duijn. Daarvan zouden de gevolgen groter kunnen zijn, bijvoorbeeld als iemand een ambulance kan imiteren en altijd groen licht krijgt.

Nu is dat nog niet zo. "Het stoplicht bepaalt nog steeds wie er voorrang krijgt", zegt Neelen. "Het is een beetje alsof je op afstand de voorrangsknop voor fietsers kunt indrukken." Dat gebeurt alleen als het veilig kan; het is niet zo dat een stoplicht op groen gaat als een ander nog op groen staat.

Toch zouden aanvallers daarmee problemen kunnen veroorzaken, bijvoorbeeld door van meerdere kanten virtuele fietsers op een kruispunt af te sturen en het verkeer te ontregelen. "We hebben dat niet geprobeerd, want dat was niet nodig om het probleem duidelijk te maken", zegt Neelen.

Volgens de onderzoekers is hun werk vooral een waarschuwing, nu op steeds meer plekken slimme verkeerslichten moeten komen. Dan moeten die wel bestand zijn tegen manipulatie.

De onderzoekers hebben de makers van de verkeerslichten van de problemen op de hoogte gesteld. "Die hebben toegezegd hun apps te verbeteren", zegt Esther Schoemaker van Talking Traffic, een samenwerkingsverband voor slimme stoplichten.

De verkeerslichten waar het om ging, waren geen 'officiële' slimme stoplichten die onderdeel uitmaken van dat verband, stelt Schoemaker.

"De onveilige apps hadden niet tot onveilige situaties kunnen leiden, zoals groen licht afdwingen uit meerdere richtingen", stelt Schoemaker. Na de bevindingen van Van Duijn en Neelen zijn de apps offline gehaald.

"Ze kunnen bijvoorbeeld aan de achterkant kijken of er verdachte patronen zijn", zegt Van Duijn. "Het is misschien verdacht als je het ene moment in Groningen fietst en daarna in Den Bosch."

STER reclame