Nyt sikkerhedshul: Brugte biler med internet husker den gamle ejer

En amerikansk bilejer solgte for nylig sin bil gennem en uautoriseret forhandler. Der er der sådan set intet mærkeligt i; det sker hele tiden over hele verden.

Men det nye er, at bilen var koblet til internettet, og de data, som knyttede ejeren til lige netop den bil, lå i en cloud - og her blev de liggende, også efter at bilen var solgt.

Det forklarer Charles Henderson til CNNtech. Han er leder af IBM’s afdeling for tests af it-sikkerhed, og det var hans bil, som blev solgt. Efterfølgende kunne han følge med i, hvor bilen kørte hen, og han kunne tilgå den via den app, han havde installeret på sin telefon, da han købte biler.

Charles Henderson undersøgte fire andre store bilproducenter, og resultatet var det samme: Bilen 'vidste' ikke, at den er blevet solgt - og den nye ejer kan dermed ikke vide, at andre stadig kan tilgå bilens systemer.

I princippet betyder det, at den tidligere ejer for eksempel kan låse bilen op med sin telefon og ændre på indstillinger i bilens opsætning.

Moderne biler bliver hacket

Og det er ikke for sjov, at eksperter er nervøse for, at andre overtager kontrollen med en bil via en netforbindelse. Der har været flere eksempler på hackere, som har været i stand til at kontrollere biler - også mens de kørte. Tilbage i 2015 viste hackere for eksempel, hvordan det var muligt at tage fuld kontrol over en Jeep Cherokee, mens en journalist fra Wired kørte bilen.

Problemet er ifølge Charles Henderson, at selv om det er muligt at fjerne data fra selve bilen, så er data også gemt på servere, som ejeren ikke selv har adgang til at slette. Og bilproducenterne er bange for, at folk begår fejl, når de selv skal slette data.

Men problemet behøver ikke at være så svært at løse, siger Charles Henderson. Han foreslår, at ejeren ganske simpelt med en pinkode, kan 'rense' både bil og database for tidligere ejere

Samme problem i Danmark

BMW er et af de bilmærker, som tidligt har været ude med ejeropkoblede apps til at kontrollere bilerne. Det er for eksempel muligt at låse bilen op og sætte ventilationen i gang. Appen kan også bruges til at lokalisere bilen, blinke med lygterne eller dytte med hornet, hvis man ikke kan finde sin bil på en parkeringsplads.

Ved hjælp af servicen BMW Connected er det muligt at fjernbetjene en række funktioner i en ny BMW. For eksempel kan døre låses op og i, og det er muligt at se, hvor bilen befinder sig. Hvis bilen sælges, og den tidligere ejer ikke bliver slettet fra BMW's database, vil det fortsat være muligt at tilgå de funktioner. (Foto: BMW)

Ingeniøren har spurgt BMW i Danmark, om de problemer, der skitseres fra USA, kunne opstå med en brugt BMW i Danmark, som er sluttet til BMW's portal BMW Connected. Det afviser informationschef Mette Lolholm og forklarer:

»Hvis en ny kunde overtager en brugt bil, kan den nye kunde gå ind via BMW Connected og overtage bilen. Dette gøres ved, at man opretter en konto på BMW Connected og tilslutter det pågældende stelnummer. Der bliver efterfølgende sendt en kode til bilen, som er unik, og som kræves for at kode app og bil. Så snart dette gøres, forsvinder den fra den tidligere ejers konto.

»Autoriserede BMW-forhandler har ligeledes et system, hvor de kan nulstille kontoen,« forklarer Mette Lolholm, som erkender, at hvis den private forhandler ikke nulstiller kontoen, er der en risiko for, at bilen kan blive solgt, uden at den tidligere ejer er blevet slettet.

Fremvis ejerskab, så kobler vi dig af

Hos Mercedes er proceduren lidt mere kompliceret. Opkoblingen til nettet foregår via Mercedes me Portal, og hvis forhandleren ikke har fjernet den tidligere ejer, skal den nye ejer henvende sig til en autoriseret forhandler og fremvise dokumentation for, at vedkommende er den nye ejer. Forhandleren vil så fjerne den tidligere ejer fra databasen. Det forklarer chef for PR og kommunikation i Mercedes David Engstrøm:

Sponseret indhold

V2 Briefing | GENERATIV AI: Sådan bruger du det professionelt

Kunstig Intelligens

»Sælges bilen via autoriserede forhandlere af Mercedes-Benz, er processen, at de gennemgår et tjek, som blandt andet indebærer, at bilen frakobles eventuelle tilknytning til Mercedes me-portalen. Mercedes me-brugere bærer det juridiske ansvar for at frakoble bilen, hvis denne sælges videre, men i tilfælde af, at dette ikke sker, er processen som skrevet, at forhandleren gør det, inden bilen sættes til salg igen,« siger han.

Også David Engstrøm erkender, at der er en teoretisk risiko for, at en bil, som bliver solgt uden om autoriserede forhandlere, ikke vil blive afkoblet Mercedes me, men understreger, at det altså sagtens kan lade sig gøre efterfølgende.

Bilproducent har ansvar for at oplyse

Det er ikke kun i luksusbiler som Mercedes og BMW, at bilerne er forbundet til internettet; også mærker som Opel, Ford og Toyota har tjenester, som knytter ejeren direkte til bilen.

Jesper Lund, der er formand for IT-Politisk Forening, mener, at det er bilproducenternes ansvar at sikre, at køber og sælgere af biler med internetopkoblinger nemt og gnidningsfrit kan slette den tidligere ejers data og overdrage datakontrolretten til den nye ejer:

»De har jo en fælles interesse i at det kan ske helt uden komplikationer,« siger han og peger også på, at vi lige nu står midt i en overgangsfase, i forhold til hvor mange biler der har sådan en opkobling.

Andelen af den type biler vil bliver øget, når alle nye biler i EU fra 2018 skal sælges med automatisk nødopkald, såkaldt e-call.

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes i Danmark den 3. og 4. maj 2017. 60 udstillere, 5 konferencesale og mere end 80 seminarer og caseoplæg fra ind- og udland. Læs mere her.