- Annonser -
  • Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Stora brister i IT-säkerheten hos nya bilar

Nya bilar blir allt mer uppkopplade, och får allt fler nya finesser som ska göra körningen enklare och bekvämare. Men de kommer också med en allvarlig baksida som kan få farliga konsekvenser.

-

- Annons -
Foto: Fredrik Diits Vikström

En ny granskning gjord av Vi Bilägare tillsammans med IT-säkerhetsstudenter från Kungliga Tekniska Högskolan (KTH) avslöjar flera missar i cybersäkerheten i de långtestbilar som tidningen varje år köper in.

Först ut är elbilen MG, ett märke som ägs av kinesiska koncernen SAIC. Den skickar konstant data till en server i Kina medan den körs. Enligt MG skickar bilen så kallad ”loggdata” till den kinesiska servern när bilens app för att lyssna på musik kraschar. Men i våra tester kontaktas den kinesiska servern alltså löpande utan att appen någonsin kraschat.

Om det bara är statistik över bilens servicehistorik som skickas till Kina kanske det inte är så bekymmersamt, enligt Pontus Johnson som är professor i nätverk och systemteknik och ansvarig för KTH:s nya forskningscenter.

– Men om man skickar data från bilens gps eller ljudupptagningar är det något helt annat. Det skapar en väldigt god bild över människors liv för den som är ute efter att spionera och det kan skapa en oro hos många, säger han.

”Skickar data utanför EU”

Testet visar också att Nissan och Seat skickar data utanför EU. Om det är personuppgifter som skickas är det förbjudet, eftersom den typen av uppgifter ska hållas inom EU enligt den så kallade GDPR-förordningen. Annars väntar miljardbelopp i böter för biltillverkarna. Både Nissan och Seat insisterar på att inga personuppgifter lämnar EU, men det är alltså inget som har kunnat verifieras.

En annan säkerhetsbrist som avslöjats i MG:s elbil är att flera av bilens så kallade portar står vidöppna. Portarna används för att skicka och ta emot data över nätet, men ska inte lämnas öppna utan anledning. Ingen av de andra bilarna i testet har öppna portar på det här sättet och MG blir därmed klart sämst i granskningen.

– Vi har gjort granskningen flera gånger under en längre tid för att verifiera resultatet. Vid samtliga tillfällen var flera av MG:s portar öppna, säger Afruz Bakhshiyeva som deltog i testerna.

En öppen port behöver i sig själv inte vara ett säkerhetsproblem, men det kan förenkla för hackare som vill ta sig in i bilens system och det är enligt Pontus Johnson exempel på ”slarvig utveckling”. Forskare i USA har tidigare utnyttjat den typen av sårbarhet för att kunna styra en bil med en bärbar dator från baksätet, men MG insisterar på att det inte ska vara möjligt i det här fallet.

”Man prioriterar inte säkerheten”

– Den här typen av brist är ofta ett tecken på hård prispress eller tidspress. Biltillverkaren har inte resurser eller kompetens att lösa detta och är redo att ta risken det medför. Det tyder också på en dålig företagskultur där man prioriterar annat än säkerheten, säger Pontus Johnson.

MG bekräftar för Vi Bilägare att portarna är öppna och att de är kopplade till bilens interna, trådlösa nätverk som passagerarna kan koppla upp sig mot. Efter vårt avslöjande ska portarna stängas, men uppdateringen blir inte obligatorisk för bilägarna.

Sist i granskningen har studenterna lyckats öppna dörrarna till fem av långtestbilarna – utan att nyckeln är i närheten. Det kan göras med hjälp av en bärbar dator och en pryl som går att köpa på nätet för några tusenlappar.

Nyckeln skickar ut en radiosignal som öppnar bilen. Det biltjuvarna gör är att spela in den signalen i en liten pryl och sedan spela upp den för bilen vid ett senare tillfälle. Eftersom bilen inte kan skilja på nyckeln och ”tjuvprylen” öppnas bilen oavsett. Attacken är svår att skydda sig mot och biltillverkarna har inte brytt sig om att utveckla ett bättre skydd eftersom det är dyrare.

– Det behöver inte vara så här. Det finns andra tekniker man kan använda för att kommunicera på ett säkert sätt, säger Pontus Johnson.

- Annons -
Föregående artikel
Nästa artikel
”Evidensbaserad säkerhetskunskap ligger helt rätt i tiden”

”Hållbara laddprodukter främjar fastighetsbranschens utveckling”

Hallå där Josefin Bengtsson, COO och Head of Marketing för Compleo Nordic. Vilka är Compleo?– Compleo erbjuder allt man behöver för en smart och...

FLER NYHETER

IMY publicerar vägledning för integritetsanalys

IMY publicerar nu ”Vägledning för integritetsanalys i lagstiftningsarbete”. Vägledningen riktar sig främst till de som tar fram författningsförslag som innebär att personuppgifter behandlas, till...
- Annons -

Stärkt system för samordningsnummer

Ett samordningsnummer är en identitetsbeteckning för personer som inte är eller har varit folkbokförda i Sverige, men som ändå har behov av att ha...

Hon blir ny ordförande för Tech Sveriges Hållbarhetsråd

Johanna Giorgi, hållbarhetschef för AddSecure, har utsetts till ordförande för Tech Sveriges hållbarhetsråd.Rådet arbetar aktivt både för att lyfta fram techbranschen som möjliggörare av...
- Annons -

Lagförslag om hjärtstartare i bostadsområden

Det inträffar runt 6 000 hjärtstopp om året utanför sjukhus i Sverige. Genom hjärt-lungräddning överlever ungefär var tionde. Den siffran skulle kunna dubblas om...

Hallå där, Rahmina Khatun, en av tre mottagare av ISACA-stipendiet 2022

Motiveringen lyder:I denna uppsats rätas frågetecknet ut till ett utropstecken och arbetet belyser att kamerabevakning utan tillståndskrav på platser där allmänheten inte äger tillträde...

Utbildning ska ge tågpersonal verktyg för att hantera hot och våld

Anmälda arbetsplatsolyckor orsakade av hot och våld som leder till sjukfrånvaro ligger högt inom spårbunden trafik.* Att ge till exempel tågvärdar och konduktörer ökade...

PAM-as-a-Service ger ett extra lager för ökad säkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Många allvarliga cyberattacker inleds genom att hackaren lyckas ta över så kallade privilegierade användarkonton....

PTS övade cyberförsvar

Under två dagar, 29-30 november, genomfördes PTS CDX 2022, (CyberDefenceExercise) en teknisk övning tillsammans med deltagare ur sektorn elektronisk kommunikation. Övningen genomfördes på FOI:s...

A-kassans utbetalningar skjuts upp efter cyberattack

Softronic sköter bland annat driften åt a-kassorna, som på grund av attacken meddelat att utbetalningarna från dem kommer att dröja."Av säkerhetsskäl kommer torsdagens utbetalning...

Offren för utpressningsattacker har ökat med 138 procent i Norden

Bland resultaten framkommer att det totala antalet incidenter ökat med drygt fem procent från föregående år. I snitt utsattes varje kund för fler än...

Säkerhet och digitalisering högst prioriterat för företags betalningslösningar inför 2023

Att stärka säkerheten är den satsning som företagen prioriterar allra högst när det gäller betallösningar, visar undersökningen. På andra plats hamnar digitalisering av betalningar,...

Gömmer sig en “cyberspion” i din datainfrastruktur?

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Cyberattacker är svåra att upptäcka. I snitt tar det upp till 287 dagar att...

2Secure anställer informationssäkerhetskonsult

Erik Baumgardt är i grunden statsvetare och inriktade sig tidigt på säkerhetspolitik och integritetsfrågor.– Jag vill utvecklas och lära nytt och såklart bidra till...

Verktyg ska hjälpa att systematisera och brottsförebygga i skolor

– Tillsammans med Länsstyrelsen i Blekinge har vi på den oberoende tankesmedjan Stiftelsen Tryggare Sverige utvecklat ett verktyg som möjliggör ett kunskapsbaserat och systematiskt arbetssätt...

PAM-as-a-Service ger ett extra lager för ökad säkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Många allvarliga cyberattacker inleds...