Elektrische rolstoelen van het merk Whill waren over te nemen door derden. De rolstoelen vereisten geen authenticatie via Bluetooth en hierdoor konden hackers vanaf een afstand met een gamecontroller de besturing overnemen. Een aangepaste versie van een getroffen rolstoel is in gebruik op Schiphol en het is onbekend of die ook kwetsbaar was of is.
Bluetooth
In SecurityWeek is te lezen dat onderzoekers met slechts een gamecontroller Whill-rolstoelen konden overnemen. Hierdoor kon de persoon in de rolstoel niet langer zelf de koers bepalen. De onderzoekers hebben het uitgeprobeerd op de Model C2 en Model F, die je via Bluetooth mogelijk maken om op slot te worden gezet. Dat werkt met een app op de smartphone, maar in die Bluetooth-verbinding gaat het mis. Whill heeft enkele weken geleden een patch uitgebracht om te zorgen dat de kwetsbaarheden niet meer bestaan, maar het is nog niet zeker of die patch effectief is.
Vraagtekens
Het is een voordeel dat de hacker wel fysiek bij de rolstoel in de buurt met zijn om te kunnen overnemen. Wel worden er vraagtekens gezet bij de beveiliging van Whill-producten, zo zonder authenticatie op de Bluetooth-verbinding. Het is een onderzoeker gelukt om de elektrische rolstoel ook te besturen buiten Bluetooth-bereik.
De elektrische rolstoelen van Whill worden onder andere gebruikt op Schiphol. Sinds een succesvolle proef in 2023 rijden er sinds juli 2024 rolstoelen van Whill gebruikt om het mensen met een mobiliteitsbeperking makkelijker te maken zich te bewegen over de grote luchthaven. Je legt op Schiphol vaak vele meters af: vaak wel 3.000 stappen voordat je het vliegtuig hebt bereikt. Hierdoor is hulp waardoor mensen toch nog autonoom kunnen bewegen belangrijk. Of er door deze hack ook Whill-rolstoelen op Schiphol onveilig zijn is onbekend.
Het Amerikaans-Japanse Whill bedrijf verkoopt de elektrische rolstoelen ook in Nederland, al is onduidelijk hoeveel er in ons land rondrijden.
Bron: Bright, Schiphol, Tweekers
