Het is voor hackers relatief eenvoudig verkeerslichten te manipuleren door toegang te krijgen tot de sensoren in het wegdek die verkeer meten.

Dat stelt althans Cesar Cerrudo, een Argentijnse onderzoeker die zijn bevindingen tijdens een congres in mei uit de doeken zal doen.

Wired.com weet nu alvast de belangrijkste details van de kwetsbaarheid te melden mede op basis van een blog van Cerrudo.

De onderzoeker ontdekte dat het systeem dat gebruikt wordt in veertig Amerikaanse steden waaronder New York City, Los Angeles en San Francisco en in tien andere landen zoals het Verenigde Koninkrijk, China, Canada, Australië en Frankrijk, kwetsbaar is. Het is onbekend of het systeem ook in Nederland wordt gebruikt.

De data die de magnetische sensoren verzamelen over bijvoorbeeld hoe druk het is op een weg worden niet versleuteld. De gegevens worden zonder beveiliging naar een ontvanger verstuurd. Dat signaal is te onderscheppen.

Manipuleren

De onversleutelde gegevens kunnen vervolgens worden uitgelezen en in theorie worden gemanipuleerd, stelt Cerrudo. Hij had daar wel een toegangspunt van Sensys Networks, het bedrijf achter de sensoren nodig. Dat product kost 4.000 dollar en is alleen voor overheden bedoeld. Toch kon de onderzoeker de ontvanger met een smoesje in handen krijgen.

Ook is het volgens hem voor hackers mogelijk de data te onderscheppen met een eigen toegangspunt, alleen moet de betekenis van deze gegevens dan nog wel worden uitgelezen wat bij de ontvanger van Sensys automatisch gebeurt.

Gewaarschuwd

Cerrudo heeft Homeland Security in juli al gewaarschuwd, maar kreeg een lauwe reactie. Sensys Networks laat aan Wired weten dat Homeland Security dan ook tevreden is met het systeem. Gegevens in nieuwe sensoren worden wel versleuteld, maar de oude zouden eerst opgegraven moeten worden voor versleuteling mogelijk is.

De onderzoeker stelt in zijn blog ook nog dat de encryptie bewust is uitgeschakeld omdat de lokale overheden de versleuteling niet willen. Waarom is onduidelijk.

Levensgevaarlijk

Volgens Cerruda kan het hacken van de sensoren levens kosten omdat verkeerslichten niet meer goed reageren op de echte verkeerssituatie. Daardoor zouden botsingen kunnen ontstaan of zouden ambulances en brandweerauto's geblokkeerd kunnen worden.

De Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), heeft aan de onderzoeker laten weten dat er naar de kwetsbaarheid gekeken zal worden als wordt aangetoond dat de situatie wordt misbruikt.