Tyske sikkerhedseksperter har demonstreret at biler med håndfri Bluetooth-anlæg kan være sårbare overfor aflytning. Med et nyt program kaldet Car Whisperer kan man uden større besvær hacke sig ind i Bluetooth-anlæg og lytte med i samtaler i bilen - eller selv sende lyd til bilens højtalere.
Eksperterne i trifinite-gruppen fortæller at de fleste Bluetooth-producenter bruger en standardnøgle til autentificering, som ofte er 0000 eller 1234. Dermed er det let at koble sig til systemet udefra med en bærbar computer og en kraftig antenne.
Når først forbindelsen er oprettet, kan hackeren bruge alle funktioner i det håndfri anlæg - og endda føre en samtale med bilens fører eller kopierer oplysninger om gemte telefonnumre i systemet.
Projektet blev præsenteret på den hollandske konference What the Hack i denne uge. Linux-programmet kan hentes på trifinite-gruppens hjemmeside, hvor der også er billeder fra det første succesrige eksperiment.
En af gruppens medlemmer, Martin Herfurt, stillede sig på en motorvejsbro med en retningsbestemt antenne og sigtede gennem forruden på de forbikørende biler.
»Ved en hastighed på 120 kilometer i timen kunne jeg cirka i 15 sekunder lytte med i, hvad der blev sagt inde i bilen eller hvilken radiokanal der blev spillet,« forklarer Martin Herfurt.
Hvis man vil aflytte biler i længere tid af gangen, bliver man nødt til at sigte gennem bagruden fra en anden bil, der ligger lige bagved, forklarer han. Det er dog endnu ikke testet i praksis.
Det er blandt andet bilmodeller som A3, A4 og TT fra Audi, der tilbydes med ekstra Bluetooth-modul, som er sårbare. Modulet sender selv sin id og søger efter en aktiv forbindelse - men stopper i det øjeblik der tilsluttes en Bluetooth-mobiltelefon første gang.
Audi mener derfor at der er tale om et hypotetisk problem uden praktisk betydning. Dels er sendestyrken meget lav - 2,5 milliwatt - og dels forsvinder sårbarheden, når Bluetooth-anlægget tages i brug.
»Hvorfor skulle en kunde betale ekstra for et håndfrit Bluetooth-anlæg og så ikke bruge det?« spørger Audi's pressetalsmand, Udo Rügheimer.
Men Audi vil ikke erstatte standardnøglen med en individuel kode. Det er for besværligt for kunderne, lyder argumentet.