De flesta nya bilar är uppkopplade mot internet för att kunna styras av appar, ta emot trafikinformation och få mjukvaran uppdaterad.
IT-säkerhetsstudenter från Kungliga Tekniska Högskolan (KTH) har tillsammans med tidningen Vi Bilägare provat att hacka ett antal bilar som tidningen haft inne för test. Studenterna har också tittat på vilken typ av data som skickas iväg från bilen, och vart den går.
Kan spionera för Kina
En av de undersökta bilarna är en MG. Enligt MG skickar bilen så kallad ”loggdata” till den kinesiska servern när bilens app för att lyssna på musik kraschar. Men enligt studenternas tester kontaktas den kinesiska servern alltså löpande utan att appen någonsin kraschat.
– Om det bara är statistik över bilens servicehistorik som skickas till Kina kanske det inte är så bekymmersamt. Men om man skickar data från bilens gps eller ljudupptagningar är det något helt annat. Det skapar en väldigt god bild över människors liv för den som är ute efter att spionera och det kan skapa en oro hos många, säger Pontus Johnson som är professor i nätverk och systemteknik på KTH.
Fler skickar data utanför EU
Testet visar också att Nissan och Seat skickar data utanför EU. Om det är personuppgifter som skickas är det förbjudet, eftersom den typen av uppgifter ska hållas inom EU enligt den så kallade GDPR-förordningen.
Att bryta mot det kan kosta miljarder i böter. Både Nissan och Seat insisterar på att inga personuppgifter lämnar EU.
Vidöppna dataportar
En annan säkerhetsbrist som avslöjats i MG:s elbil är att flera av bilens så kallade portar står vidöppna. Portarna används för att skicka och ta emot data över nätet, men ska inte lämnas öppna utan anledning. Ingen av de andra bilarna i testet har öppna portar på det här sättet och MG blir därmed klart sämst i granskningen.
En öppen port behöver i sig själv inte vara ett säkerhetsproblem, men det kan förenkla för hackare som vill ta sig in i bilens system och det är enligt Pontus Johnson exempel på ”slarvig utveckling”. Forskare i USA har tidigare utnyttjat den typen av sårbarhet för att kunna styra en bil med en bärbar dator från baksätet, men MG insisterar på att det inte ska vara möjligt i det här fallet.
MG bekräftar för Vi Bilägare att portarna är öppna och att de är kopplade till bilens interna, trådlösa nätverk som passagerarna kan koppla upp sig mot. Efter avslöjandet ska portarna stängas, men uppdateringen blir inte obligatorisk för bilägarna.
Kan öppnas utan nyckel
Studenterna har lyckats öppna dörrarna till fem av tidningens långtestbilar – utan att nyckeln är i närheten. Det kan göras med hjälp av en bärbar dator och en pryl som går att köpa på nätet för några tusenlappar.
Nyckeln skickar ut en radiosignal som öppnar bilen. Det biltjuvarna gör är att spela in den signalen i en liten pryl och sedan spela upp den för bilen vid ett senare tillfälle. Eftersom bilen inte kan skilja på nyckeln och ”tjuvprylen” öppnas bilen oavsett.
– Det behöver inte vara så här. Det finns andra tekniker man kan använda för att kommunicera på ett säkert sätt, säger Pontus Johnson.