En ny granskning gjord av Vi Bilägare tillsammans med IT-säkerhetsstudenter från Kungliga Tekniska Högskolan (KTH) avslöjar flera missar i cybersäkerheten i de långtestbilar som tidningen varje år köper in.

Först ut är elbilen MG, ett märke som ägs av kinesiska koncernen SAIC. Den skickar konstant data till en server i Kina medan den körs. Enligt MG skickar bilen så kallad ”loggdata” till den kinesiska servern när bilens app för att lyssna på musik kraschar. Men i testerna kontaktas den kinesiska servern alltså löpande utan att appen någonsin kraschat.

Om det bara är statistik över bilens servicehistorik som skickas till Kina kanske det inte är så bekymmersamt, enligt Pontus Johnson som är professor i nätverk och systemteknik och ansvarig för KTH:s nya forskningscenter.

– Men om man skickar data från bilens gps eller ljudupptagningar är det något helt annat. Det skapar en väldigt god bild över människors liv för den som är ute efter att spionera och det kan skapa en oro hos många, säger han.

Testet visar också att Nissan och Seat skickar data utanför EU. Om det är personuppgifter som skickas är det förbjudet, eftersom den typen av uppgifter ska hållas inom EU enligt den så kallade GDPR-förordningen. Annars väntar miljardbelopp i böter för biltillverkarna. Både Nissan och Seat insisterar på att inga personuppgifter lämnar EU, men det är alltså inget som har kunnat verifieras.

En annan säkerhetsbrist som avslöjats i MG:s elbil är att flera av bilens så kallade portar står vidöppna. Portarna används för att skicka och ta emot data över nätet, men ska inte lämnas öppna utan anledning. Ingen av de andra bilarna i testet har öppna portar på det här sättet och MG blir därmed klart sämst i granskningen.

– Vi har gjort granskningen flera gånger under en längre tid för att verifiera resultatet. Vid samtliga tillfällen var flera av MG:s portar öppna, säger Afruz Bakhshiyeva som deltog i testerna.

En öppen port behöver i sig själv inte vara ett säkerhetsproblem, men det kan förenkla för hackare som vill ta sig in i bilens system och det är enligt Pontus Johnson exempel på ”slarvig utveckling”. Forskare i USA har tidigare utnyttjat den typen av sårbarhet för att kunna styra en bil med en bärbar dator från baksätet, men MG insisterar på att det inte ska vara möjligt i det här fallet.

– Den här typen av brist är ofta ett tecken på hård prispress eller tidspress. Biltillverkaren har inte resurser eller kompetens att lösa detta och är redo att ta risken det medför. Det tyder också på en dålig företagskultur där man prioriterar annat än säkerheten, säger Pontus Johnson.

MG bekräftar för Vi Bilägare att portarna är öppna och att de är kopplade till bilens interna, trådlösa nätverk som passagerarna kan koppla upp sig mot. Efter avslöjandet ska portarna stängas, men uppdateringen blir inte obligatorisk för bilägarna.

Sist i granskningen har studenterna lyckats öppna dörrarna till fem av långtestbilarna – utan att nyckeln är i närheten. Det kan göras med hjälp av en bärbar dator och en pryl som går att köpa på nätet för några tusenlappar.

Nyckeln skickar ut en radiosignal som öppnar bilen. Det biltjuvarna gör är att spela in den signalen i en liten pryl och sedan spela upp den för bilen vid ett senare tillfälle. Eftersom bilen inte kan skilja på nyckeln och ”tjuvprylen” öppnas bilen oavsett. Attacken är svår att skydda sig mot och biltillverkarna har inte brytt sig om att utveckla ett bättre skydd eftersom det är dyrare.

– Det behöver inte vara så här. Det finns andra tekniker man kan använda för att kommunicera på ett säkert sätt, säger Pontus Johnson.