It-sikkerheden i biler sejler: De kan tvangsstoppes, overtages, piftes og hackes

Illustration: Bigstock
Moderne biler er rullende computere, og det kan hackere udnytte alt for nemt, lyder det fra sikkerhedseksperter på Kaspersky Security Analyst Summit 2018.

Biler bliver smartere og smartere hvert år, men det samme kan ikke siges om den sikkerhed, der gerne skulle være på plads til at beskytte brugeren mod datatyveri og hacking af køretøjet. Det mener Stefan Tanase, der er sikkerhedsforsker hos det rumænske sikkerhedsfirma Ixia.

»Den eneste forskel mellem en computer og en moderne bil er, at hvis din computer hackes, så går det ikke udover din fysiske sikkerhed, mens en bilhacker både kan stjæle data om dig og overtage vitale funktioner i bilen, smyge sig uden om bilens sikkerheds- og låsesystemer og i værste fald køre bilen ind i noget,« lyder det fra sikkerhedsforskeren til Kaspersky Security Summit 2018.

Læs også: Ekspertudvalg skal udtænke nationale regler for dataetik

En af hans kolleger, Gabriel Cirlig, har netop købt en ny bil, som de sammen ville undersøge, hvor nemt kunne hackes. Det skriver The Register

Og det skulle vise sig at være overraskende nemt.

Derefter lavede de bilen til en Access Point Mapping-maskine på fire hjul, der kørte rundt og samlede informationer om alle wifis, den kom forbi, for de to herrer.

Gabriel Cirlig fandt desuden kode liggende frit tilgængeligt på nettet, der påstod at give root-adgang til bilens kontrolsystemer.

Læs også: Bilproducenter gør klar til at sælge dine data til højestbydende

De kodelinjer puttede han på en USB-stik, som han smed i bilen og vupti - så havde de fuld adgang til bilens inderste systemer.

Totalsynkronisering

Gennem denne nyvundne adgang fandt Gabriel Cirlig ud af, at da han tilkoblede sin telefon til bilens system tidligere, havde den scannet alle e-mails, samtaler og kontakter samt logget alle besøgte lokationer.

Det hele blev opbevaret i ren tekst - perfekt for hvem der end måtte være interesserede i at overvåge sikkerhedseksperten.

Læs også: Sæt bare strøm til lortet - #not

De to kolleger prøvede efterfølgende at hacke bilen fra et wifi på afstand, men det havde de dog ikke succes med.

Til gengæld fandt de ud af, at bilen bruger lydbølger til at fornemme, om der er forhindringer på vejen, som bilen bør stoppe for. Ville man tvinge bilen til at stoppe, kunne man derfor udløse denne automatiske bremse med en radio, der kan lave lydbølger med samme længde.

Læs også: Spritkørsel med PROSA

De to sikkerhedsforskere var påpasselige med ikke at afsløre, hvilket bilmærke der var tale om, men det ligner en ny Mazda, skriver The Register. Da de kontaktede bilproducenten, skulle denne efter sigende have forklaret sikkerhedshullerne som features.

Ikke bugs.

Grundlæggende sikkerhedsproblemer hos alle producenter

En anden grund til at være bekymret som bilejer er, at de linuxdistributioner, bilerne kører på ofte er uddaterede inden bilen ruller ud fra fabrikken. Det skyldes blandt andet, at der går mellem fire og seks år fra en bil konceptualiseres, til den ruller ud fra fabrikken. Og i den tid kan der ske meget it-sikkerhedsmæssigt.

Læs også: Spritkørsel med PROSA

Derudover fortæller Marc Rogers, sikkerhedschef hos Cloudfare, at CAN-bus’erne er håbløst uddaterede og i det hele taget ikke designet til at være sikre. Al datatrafik over dem er ukrypteret og adgangen til dem er nem.

Læs også: Din bank ved mere om dig end nogensinde før (og vil gerne vide meget mere)

Derudover er der alle de sikkerhedsproblemer, der er i forbindelse med trådløse nøgler og de mange andre elektronisk styrede systemer, herunder dæktryksmålere, der er ukrypterede og åbner op for angreb med simple Raspberry Pi-baerede enheder, siger Marc Rogers, der generelt kritiserede bilindustrien for at tage al for let på sikkerheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Nielsen

Har selv haft rootet min Mazda 3 (2014) så jeg kunne ændre et par irriterende standard instillinger. Eller "rootet" er så meget sagt. SSH passwordet er offentlig tilgængeligt så det er bare at koble bilen på wifi, så er der adgang.

Så disse "sikkerhedsforskere" har da ikke forsøgt ret meget...

Jakob Damkjær

Så med fysisk adgang til en USB port kan man hacke noget

!!! STOP THE PRESS !!! En eller anden løb ned i trykkeriet og råb at de skal stoppe trykpressen og smide forsiden ud !!! vi skal ha trykt en ny !!!

Så længe de ikke har remote hacket så skal der lidt en skærebrænder eller en stor vinkelsliber til fysisk at hacke en bil... så lidt en tynd kom the...

Ikke ligesom den gang hvor der faktisk var nogen der remotehackede en JEEP mens den kørte og kunne trykke på speederen og overtage rattet...

Martin Sørensen

Så er det på en måde heldigt at min bil er model skrab uden USB porte eller wifi. Den kan dog fås med USB da der er et hul indvendigt i centerkonsollen hvor der er lavet plads til et USB stik. :-) Bilen er også fra 2010 hvor alle disse smarte features ikke var standard som de efterhånden er blevet, selv i mikrobilerne.

Hvis man kan komme ind i bilen er der selvfølgeligt et OBD-II stik og så er der fri adgang til det hele. Tyve der er forberedte kan sikkert hurtigt omgå en startspærre på den måde.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder