Tänk om bilen inte svänger vänster i nästa korsning, trots att du vill det, utan höger? Tänk om den tvärbromsar helt av sig själv? Det här är ett riktigt otäckt scenario som trots allt inte är särskilt troligt att du råkar ut för. Men ju mer uppkopplade nya bilar, desto större är ändå risken.
Säkerhetsattacker mot nya bilar har blivit vanligare. Jeep Cherokee kunde hackas på distans, visade ett gäng forskare för några år sedan, och nu har en grupp kinesiska forskare hackat en Tesla Model S.
”Generellt är det så att om du kommer åt bilens diagnosuttag, är det kört för i princip alla bilmodeller. Då kommer du åt allting och kan styra nästan vad som helst. Det som är speciellt med de här två hacken, med Jeep Cherokee och Tesla Model S, är att hacken inte kräver att man faktiskt befinner sig fysiskt i bilen”, säger Karl Zetterlund, it-säkerhetsexpert på företaget Sentor.
I Teslafallet krävdes ganska speciella omständigheter. Bilen måste anslutas till ett wifi-nätverk som angriparen kontrollerar, och sedan måste någon öppna webbläsaren, där det fanns en sårbarhet. Då kunde någon ta kontroll över bilen.
”Men i fallet med Jeep Cherokee var det mycket värre. Hackarna kopplade in sig på bilens wifi-hotspot med internetanslutning via mobilnätet. På så sätt kunde hackarna skicka ny mjukvara till bilen trots att de inte var i närheten. Bilen ska egentligen bara kunna ta emot mjukvara som är signerad av Fiat/Chrysler, men där hade de klantat sig vilket ledde till en bugg med signeringen. Det var en av de största missarna med det här hacket”, säger Karl Zetterlund.
Bilen skickade ut sitt gränssnitt över internet, inte bara mot bilens interna system. På så sätt kunde hackarna i princip sitta hemma och styra bilen på distans. Det var inte en enda brist som möjliggjorde det här hacket, utan flera brister i en kedja.
Jeep återkallade bilarna som kunde drabbas av det här hacket för att uppdatera mjukvaran. Men exakt vad som gjordes för att täppa till luckan är inte känt. Efter den här händelsen har dock Fiat/Chrysler gjort som Tesla och infört belöning till hackare som hittar en säkerhetsbrist.
Ovanligt med öppenhet
Tesla är ett av få bilföretag som jobbar med it-säkerhet på ett öppnare och mer publikt sätt, till exempel med deras så kallade bug bounty-program. Det innebär att hackare som hittar säkerhetsbrister i systemen får betalt för att skicka in dem.
• Varför är det så dåligt ställt med it-säkerheten i bilbranschen?
”Bilindustrin rör sig långsamt i många avseenden. De har inte utsatts för it-attacker på det här sättet särskilt länge. Det har egentligen inte varit möjligt att angripa bilar mer än kanske de senaste tio åren. Därför har de inte riktigt hunnit med. Som med alla industrier som digitaliseras tar det ett tag innan man börjar tänka på säkerhetsaspekter.”
• Hur stor är risken för att en genomsnittlig bilägare ska råka ut för ett bilhack?
”Väldigt liten. En brist som utnyttjas mot vanliga bilägare är snarare att på något sätt försöka ta sig runt låssystemet. Men om vi tar den typen av hack som Tesla blev utsatta för, där någon tar över bilens system och kan köra den ’åt skogen’, så har det vad jag vet aldrig hänt utom i de fall där hackare bara vill visa att det är möjligt.”
”I självkörande bilar kan it-brister leda till dödsfall”
• Finns det något man kan göra som bilägare för att undvika att bli hackad?
”När det gäller hackare som kommer runt låssystemet är det svårt för bilägaren att göra något åt. Man kan välja ett bilmärke som har bra historik när det gäller säkerhet. Men det är inte heller så lätt. Vissa av de här låssystemen har kända brister redan när de monteras i bilen.”
• Vad ska hända för att bilindustrin ska ta it-säkerhet på större allvar?
”Det krävs nog flera uppmärksammade hack. Ju fler som publiceras publikt, desto fler kommer reagera. Vissa tror att vi har självkörande bilar om fem år, och i så fall kommer det driva på utvecklingen. Självkörande bilar är en utmaning för it-säkerheten. Där kan it-brister handla om dödsfall.”
• Vilka bilmärken ligger bra till när det gäller it-säkerhet och vilka ligger dåligt till?
”Tesla har visat att de tar det på allvar. Och när hackarna hittade den senaste bristen var bilarna uppdaterade en vecka senare.”
”Vilka bilmärken som är dåliga är väldigt svårt att säga eftersom vi inte riktigt vet hur de jobbar eller hur de skulle hantera en säkerhetsbrist. När Jeep Cherokee blev hackad tog Fiat/Chrysler tag i det och efter det har säkerheten hos den koncernen blivit bättre. När man väl blivit bränd en gång blir man uppmärksammad på bristerna.”
”Om bilköparna börjar ställa krav på biltillverkarna tvingas de bli mer öppna kring sin säkerhetspolicy, och visa hur de jobbar med it-säkerhet. Men folk är som folk är och sådana här brister är intressanta ett tag, sedan glöms de bort. Såvida inte bilarna trillar av vägarna kommer det inte hända så mycket.”
Modernare bil – större risk för hack
Om bilarna är väldigt smarta och har många funktioner blir it-säkerheten mycket viktigare.
”En bil som inte har automatisk parkeringshjälp, och där ratt, broms och liknande inte kan kontrolleras via
it-systemen, är fysiskt omöjlig att komma åt. Men vi går ju inte åt det hållet utan åt andra hållet”, säger Karl Zetterlund.