Ju fler smarta funktioner som biltillverkarna förser de nya modellerna med, desto fler möjligheter finns det för hackare och biltjuvar att på olika sätt koppla in sig till bilens system. Det här märktes inte minst i juli när två datorexperter lyckades fjärrstyra en Jeep Cherokee.
Föraren satt hjälplös medan automatlådan sattes i neutralläge och ratten vreds ur händerna på honom. Vid ett tillfälle kopplades också bromsarna ur.
De två experterna som utnyttjade den här sårbarheten i bilens infotainmentsystem är samma personer som lyckades fjärrstyra flera funktioner i en Toyota Prius från baksätet med hjälp av en laptop.
Fiat/Chrysler-koncernen har släppt en uppdatering till bilarnas infotainmentsystem som kan läggas in antingen hos en verkstad eller av bilägaren själv med hjälp av en usb-sticka. Det är inte precis toppmodernt när exempelvis Tesla kan uppdatera systemet ”över luften”.
De här allvarliga säkerhetsproblemen beror till stor del på att biltillverkarna uppenbarligen inte tagit it-säkerheten på allvar redan på första stadiet när bilarna och infotainmentsystemen utvecklades.
Och som om det inte vore nog med Jeephacket – nu visar det sig att Volkswagen har försökt dölja innehållet i en detaljerad säkerhetsrapport, där det står exakt vilka säkerhetsbrister som det nyckellösa startsystemet i många nya modeller har, i över två år.
Volkswagen tycker inte att bilägarna borde vara oroliga och att utnyttja den här säkerhetsbristen är för jobbigt för organiserade ligor, skriver Mashable.
Att lösa det här problemet skulle innebära att byta ut de så kallade rfid-chippen i nycklarna och transpondrarna vilket kostar mycket pengar.
Det handlar alltså om tusentals modeller från flera biltillverkare som på olika sätt kan utsättas för it-angrepp. Det handlar om en svaghet i ”keyless go”-systemet som ska göra det möjligt för bilägarna att öppna och starta bilen utan nyckel.
Säkerhetsexperterna som hittade luckan stämdes av biltillverkarna för att bristen inte skulle bli allmänt känd. Det här är det mest använda systemet och finns hos bland andra Audi, Honda, Porsche, Volkswagen och Volvo.
Så här ser tidslinjen ut för säkerhetsluckan, enligt Bloomberg.
• Februari 2012: Säkerhetsluckan visas upp för företaget som tillverkar rfid-chippen.
• Maj 2013: Säkerhetsluckan presenteras för Volkswagen som stämmer forskarna för att rapporten inte ska läcka ut.
• Augusti 2015: Rapporten är nu offentlig och ska presenteras på en säkerhetskonferens. En enda mening har tagits bort från rapporten, med en detaljerad beskrivning av hur en attack skulle kunna gå till.
En biltjuv som vill kunna köra iväg med bilen måste lyssna av nyckelns signal – det är alltså inte bara för biltjuven att köra iväg med bilen. Helt nya bilmodeller drabbas heller inte.
Olika företag har olika regler för hur en hackerattack eller en hittad säkerhetslucka ska hanteras. Volkswagenkoncernen verkar alltså vilja dölja luckorna och hålla dem interna för att de inte ska hamna i fel händer, medan andra biltillverkare istället uppmuntrar säkerhetsexperter att hitta luckor och erbjuder pengar till hackare som lyckas hitta en säkerhetslucka i bilens system.
När luckan sedan ska täppas till är det förstås en enorm fördel om det kan göras utan att bilägaren måste ta sig till en verkstad. Även här märks en stor skillnad mellan helt nyutvecklade bilar med nya infotainmentsystem och modeller som har några år på nacken.
Tillsammans med tolv andra biltillverkare försöker Volkswagen nu göra det olagligt för hackare att försöka hitta säkerhetsbrister i nya bilar.
