29-11-2022

Alvorlige mangler i nye bilers cybersikkerhed

MG-elbilen, et mærke ejet af den kinesiske koncern SAIC, sender konstant data til en server i Kina, mens der bliver kørt i bilen.

Nye biler bliver mere og mere forbundet, og de får flere og flere nye funktioner, som skal gøre kørslen nemmere og mere komfortabel. Men de kommer også med en alvorlig ulempe, der kan have farlige konsekvenser.

En ny svensk undersøgelse foretaget af magasinet Vi Bilägare sammen med Kungliga Tekniska Högskolan (KTH) afslører flere fejl i cybersikkerheden på nye biler.

Elbilen MG, der ejes af den kinesiske koncern SAIC, sender konstant data til en server i Kina, mens den kører. Ifølge MG sender bilen såkaldte "logdata" til den kinesiske server, når bilens app til at lytte til musik, går ned. Men i testene bliver den kinesiske server kontaktet løbende, uden at appen nogensinde går ned.

Hvis det kun er statistik over bilens servicehistorik, der sendes til Kina, er det måske ikke så bekymrende, mener Pontus Johnson, der er professor i netværks- og systemteknik på KTH:

- Men sender man data fra bilens GPS eller lydoptagelser, er det noget helt andet. Det skaber et rigtig godt billede af folks liv for dem, der søger at spionere, og det kan skabe angst hos mange, siger han.

Undersøgelsen viser også, at Nissan og Seat sender data uden for EU. Er det persondata, der sendes, er det forbudt, fordi den type data skal opbevares inden for EU efter den såkaldte GDPR-forordning. Ellers venter der milliardbøder til bilfabrikanterne. Både Nissan og Seat insisterer på, at ingen personlige data forlader EU, men intet er endnu bevist i sagen.

En anden sikkerhedsbrist, der er afsløret i MG's elbil, er, at flere af bilens såkaldte døre står på vid gab. Portene bruges til at sende og modtage data over netværket, men bør ikke stå åbne uden grund. Ingen af de andre biler i testen har åbne døre på denne måde, og MG er dermed klart dårligst i den svenske undersøgelse.

En åben port behøver ikke i sig selv at være et sikkerhedsproblem, men det kan gøre det nemmere for hackere, der ønsker at komme ind i bilens system, og det er ifølge Pontus Johnson et eksempel på "sjusk udvikling". Forskere i USA har tidligere udnyttet den form for sårbarhed til at kunne styre en bil med en bærbar computer fra bagsædet, men MG insisterer på, at det ikke vil være muligt i dette tilfælde.

- Denne type mangel er ofte et tegn på voldsomt prispres eller tidspres. Bilproducenten har ikke ressourcer eller ekspertise til at løse dette og er klar til at tage den risiko, det medfører. Det tyder også på en dårlig virksomhedskultur, hvor andre ting er prioriteret end sikkerhed, siger Pontus Johnson.

MG bekræfter, at dørene er åbne, og at de er forbundet til bilens interne trådløse netværk, som passagererne kan koble sig på. Efter afsløringen vil portene blive lukket, men opdateringen vil ikke være obligatorisk for bilejerne.

I undersøgelsen lykkedes det at åbne dørene til fem af testbilerne - uden nøglen i nærheden. Det kan gøres ved hjælp af en bærbar computer og en gadget, der kan købes online for et par tusinde svenske kroner.

Nøglen udsender et radiosignal, der åbner bilen. Det, biltyvene gør, er at optage det signal i en lille gadget og så afspille det til bilen på et senere tidspunkt. Da bilen ikke kan skelne mellem nøglen og "tyvenes gadget", åbnes bilen uanset. Angrebet er svært at beskytte sig imod, og bilfabrikanterne har ikke gidet at udvikle bedre beskyttelse, fordi det er dyrere.

- Det behøver ikke at være sådan her. Der er andre teknikker, man kan bruge til at kommunikere sikkert, siger Pontus Johnson.



Nyheder fra forsiden
Til "Samfund"  
Leverandører
Ændre marked
Sverige Danmark
Tilbage til toppen
Luk

Abonner på vores nyhedsbrev!


Med vores nyhedsbrev kan du få de seneste nyheder fra sikkerhedsmarkedet. Nyhedsbrevet sendes ugentligt, og du kan afmelde dig, når du ønsker det.