Ter vermaak en lering:
Laatst heb ik op de moeilijke manier een extra sleutel laten bijmaken voor een tweede generatie Toyota Yaris.
Oorspronkelijk werd de auto geleverd met drie sleutels, waarvan er maar één was voorzien van een transponder en afstandsbediening. Die sleutel was echter kwijtgeraakt. Omdat het onze tweede auto is, was de noodzaak om deze te vervangen niet erg groot. Toch bleef het vervelend om telkens handmatig met de sleutel de portieren te moeten openen en sluiten.
Na wat speurwerk kwam ik erachter dat je via AliExpress een sleutel met afstandsbediening/transponder kunt bestellen en laten slijpen. Simpelweg door een foto van de originele sleutel op te sturen.
Uit verschillende bronnen op internet bleek dat de juiste transponderfrequentie voor mijn Yaris 433 MHz moest zijn, en de chip voor de startonderbreker een 4D70. Ondanks deze informatie bleef het een gok. Met een originele sleutel kan je FCC ID controleren om achter de frequentie en immobilizer chip.
Na een week of twee kwam de nieuwe sleutel binnen. Tot mijn opluchting paste hij perfect in het contact en de deuren. Volgens online instructies kon je de afstandsbediening ‘pairen’ met de auto door een specifieke volgorde van handelingen uit te voeren. Een soort ‘Konami-code’ waarbij je de portieren een aantal keer opent en sluit, en de sleutel in het contactslot draait. Na een paar pogingen lukte dit inderdaad, en werkte de afstandsbediening zoals verwacht.
Het koppelen van de sleutel aan het startonderbrekingssysteem bleek lastiger. Ook hiervoor bestaat er een vergelijkbare handmatige methode, maar ondanks meerdere pogingen kreeg ik het niet voor elkaar. Of dit nu kwam door een verkeerde chip type, door fouten in de uitvoering, of iets anders, geen idee.
Ik besloot verder te zoeken en ontdekte dat je met bepaalde tools de chip van de originele sleutel kunt uitlezen en klonen. Er zijn verschillende merken beschikbaar, maar uiteindelijk koos ik voor de Handy Baby 3. Voor dit apparaat heb je speciale chips van dezelfde fabrikant nodig voor een aantal euro per stuk.
Met de Handy Baby kun je ook de originele sleutel uitlezen om te bepalen welk type chip er precies in zit. In mijn geval bleek dat een 4D66 te zijn en niet de 4D70 die ik in eerste instantie had besteld. Ook kon ik met het apparaat de frequentie van de afstandsbediening bevestigen.
Het klonen van de originele chip naar de nieuwe sleutel was vervolgens in een paar seconden gebeurd.
Achteraf gezien was het goedkoper geweest om de sleutel gewoon bij een sleutelmaker te laten bijmaken. Dat kost zo’n €100, begreep ik. De Handy Baby alleen al kostte me €115. Maar goed, het was wel een leerzaam en interessant projectje.
Overzicht kosten:
Sleutel met afstandsbediening: €10
Sleutel laten slijpen (freezen): €5
Handy Baby 3: €115
JMD "blue" chip: €3
Verder is het ook interessant dat de chip van het startonderbrekingschip zo makkelijk te kopiëren is. Bij sommige systemen heb je externe diensten nodig die de "geheime sleutel" proberen te achterhalen door middel van bruteforce-methodes. Daarvoor moet je dan meerdere keren de key exchange tussen het contactslot en de sleutel onderscheppen.
In mijn geval was dat niet nodig: het apparaatje kon de juiste codes gewoon kopiëren door alleen de sleutel uit te lezen. Maar goed, de Yaris is inmiddels bijna 20 jaar oud.
Blijkbaar wordt er gebruikgemaakt van het DST40-systeem van Texas Instruments, met een key lengte van 40 bits.
https://usenix.org/legacy/events/sec05/tech/bono/bono.pdf
Ik vermoed dat er inmiddels ander zwakheden zijn ontdekt om het kopiëren zo snel te maken.
Edit:
Na verder onderzoek naar mogelijke zwakheden, bleef ik me afvragen waarom het zo snel ging met een relatief eenvoudig apparaat. Sommige onderzoeken gebruiken lookup tables met challenge responses van bijna 6 terabyte om de geheime sleutel te berekenen.
Bij een onderzoek uit 2020 naar de opvolger, DST80 (80 bit key), en de implementatie bij Toyota, bleek dat Toyota het serienummer van de chip in de sleutel en enkele vaste waarden gebruikt om de geheime sleutel te genereren. Het serienummer is eenvoudig uit te lezen en de waarde wordt niet als geheim beschouwd. Oeps.
Ik vermoed dat bij de DST40 implementatie ook zoiets het geval is. Dan is het peanuts.
https://www.researchgate...._Immobiliser_Systems#pf16
[
Voor 12% gewijzigd door
Kip op 15-09-2025 22:41
]