Het is diep in de nacht als hacker Wesley Neelen wordt gefilmd bij een verlaten kruising. Het logo van zijn laptop en een verkeerslicht voor fietsers achter hem zijn goed te zien in de duisternis. „Ik sta naast een van de verbonden stoplichten en met het script op onze laptop kan ik hem direct op groen laten gaan”, zegt hij tegen de camera. Een fractie later kleurt het stoplicht inderdaad groen.

Dat was geen toeval, demonstreerden Neelen en zijn collega Rik van Duijn van beveiligingsbedrijf Zolder woensdag. Op de prestigieuze internationale hackersconferentie Defcon, dit jaar alleen online bij te wonen wegens corona, presenteerden zij hun filmpje en hun geslaagde poging om verkeerslichten in Nederland te manipuleren. Na wekenlang gepuzzel lukte het de twee om via twee ogenschijnlijk onschuldige fiets-apps op afstand de verkeerslichten te beïnvloeden.

Lekker snel op groen

Namen van apps of ontwikkelaars noemen de hackers niet, maar een van de kwetsbare apps is Schwung, bevestigt een woordvoerder van bouwconcern VolkerWessels. De app – slogan: ‘Lekker snel op groen’ – wordt ontwikkeld door Vialis, een dochter van het bouwconcern. Met Schwung wordt in zeker tien gemeenten – van Enschede tot Dordrecht – geëxperimenteerd. De app belooft fietsers sneller groen licht te geven door hun komst eerder aan het slimme stoplicht door te geven. Het idee is dat de fietser, omdat die minder lang zal moeten wachten, minder geneigd zal zijn door rood te fietsen. Het beoogde resultaat: gebruiksgemak én verkeersveiligheid.

Van Duijn en Neelen zien vooral het risico op misbruik. Zulke apps moeten op een manier communiceren met een verkeerslicht, vertelt het tweetal donderdag. Neelen: „Dat wekte onze interesse: signalen van gebruikers kan je nu eenmaal vaak manipuleren.”

Door dat signaal na te bootsen creëert de hack eigenlijk een virtuele fietser door op afstand het wachtknopje in te drukken. Neelen: „En dat kan ik niet bij één verkeerslicht doen, maar dat kan ik bij alle verbonden stoplichten in een stad doen.”

Het commando groen werkte niet altijd. De verkeerslichten sprongen alleen direct op groen als de verkeerssituatie dat toeliet, zoals ook bij normaal gebruik van de knop het geval is. Als er verkeer was, begon de wachttijd te lopen. „Het veiligheidssysteem blijft intact”, zegt Neelen. Irritant is de hack wel, zegt Van Duijn. Het overige verkeer wacht immers op een fietser die nooit zal komen.

Eén van de onderzochte apps bleek openlijk over het internet te communiceren, zegt Neelen. Het nabootsen van de boodschappen was daardoor eenvoudig. In het andere geval stuitten ze op een ingewikkeld protocol waarbij veel informatie naar de verkeerslichten werd verstuurd. Oók of een voertuig een ambulance was, en of de sirenes aanstonden. Neelen: „Dat was een bevestiging dat we hier moesten induiken: stel je voor dat we van een fietser een ambulance hadden gemaakt en dat het systeem dat had geloofd?”

Lees ook: Hoe twee IT’ers anderhalf jaar gratis konden treinen na geslaagde hack

Gebruikers vooraf goedkeuren zou de beveiliging van de fiets-apps al veel helpen, zegt Van Duijn, bijvoorbeeld via een sms’je. Zo kan één persoon in ieder geval niet tientallen virtuele fietsers over kruispunten laten gaan. Controleren op verdacht gedrag kan andere pogingen tot misbruik betrappen. „Als die fiets binnen een seconde van Groningen naar Friesland gaat, dan klopt er iets niet.”

Met de bouwers van Schwung zijn de hackers inmiddels in gesprek, laat een woordvoerder van VolkerWessels weten. „Het is erg vervelend dat dit gebeurd is en stoplichten te veel op groen zijn gegaan.” Tientallen verkeerslichten waren kwetsbaar voor de hack.

Talking Traffic, een samenwerkingsverband van het ministerie van Infrastructuur en Waterstaat, andere overheden en het bedrijfsleven op het gebied van verkeersinnovatie, zegt dat andere slimme verkeerslichten niet kwetsbaar zijn. In een verklaring spreekt het verband over „een eigen initiatief van twee leveranciers en enkele gemeenten”. De „niet-goedgekeurde apps” zijn intussen „afgekoppeld” en worden verbeterd.

Voor Van Duijn en Neelen gaat het niet om wie de fouten maakte, maar dát fouten gemaakt werden. Van Duijn: „Deze pilots zijn een eerste stap. Straks praten auto’s met elkaar, met stoplichten, met verkeersborden, met een ongeluk of wegversperring. Het is dus heel belangrijk dat zulke techniek goed ontwikkeld is.”