Biltillverkare tävlar i teknikracet och vill göra bilen till en rullande smartphone. Men hur säkert är egentligen det alltmer uppkopplade fordonet?
I somras tog ett par datahackers i demonstrativt syfte över en Jeep Cherokee. Utan att fysiskt sitta i bilen kunde de ändå kontrollera växellåda och vindrutetorkare och lyckades fjärrstyra bilen ner i ett dike.
Hackerattacker likt denna kan bli allt vanligare i framtiden.
– Självklart är det så att ju mer uppkopplad du är, desto mer riskabelt blir det. Bilar börjar kommunicera alltmer med sin omgivning och överallt där det finns trådlös kommunikation, där kan man också hitta svagheter och möjligheter för externa angripare att göra något. En stendum bil kan du kanske inte göra så mycket med, men på en bil med självkörande egenskaper kan du i princip ta över gas och broms, säger Tomas Olovsson.
Han är docent vid Chalmers Tekniska Högskola och forskar om IT-säkerhet i bilar. Han fortsätter:
– Fordonsindustrin har länge jobbat med krocksäkerhet, men IT-säkerhet har inte varit aktuellt innan. Här måste man tänka om, och det tror jag att många biltillverkare gör.
Det finns runt 50 miljoner rader kod i nya fordon och hälften av den sitter i telematiksystemet. De uppkopplade infotainmentsystemen på nya bilar utgör alltså en stor attackyta för sabotage. Men ett fordon blir inte sårbart bara genom att det har 3G/4G-kommunikation med omvärlden. Det finns flera andra vägar att bryta sig in i systemet.
Elektronikföretaget Intel har listat femton attackytor på nya bilar. Som exempel nämns Bluetooth och den så kallade OBD II-porten, diagnosuttaget. De flesta säkerhetsriskerna på Intels lista är olika typer av ECU:er. Förkortningen ECU står för Electrical Control Unit och en modern bil innehåller hundratals av dessa små datorer. ECU:er skickar meddelanden om allt från däcktryck till hastighet och säkerhetsrisken med dessa nätverksuppkopplade enheter uppstår om de kan förmedla annat än vad som är tänkt.
– Däcktrycks-ECU:n ska bara kunna skicka information om just däcktryck, det finns ingen anledning att den ska kunna skicka exempelvis vilken hastighet du har, säger Tomas Olovsson och fortsätter:
– Informationen från alla ECU:er måste styras, den ska inte kunna komma varsomhelst ifrån och kunna gå överallt. Här måste biltillverkarna bygga en sund arkitektur internt och låsa andra vägar.
Behöver vi oroa oss för att någon ska hacka sig in på just vår bil? Egentligen inte, enligt Tomas Olovsson.
– Den nya tekniken har många fördelar och alltmer uppkopplade bilar leder definitivt till ökad trafiksäkerhet, vilket mer än väl överväger de eventuella problem man riskerar att få. Jag skulle inte vara mer orolig för att någon skulle hacka sin in på min bil än om de skulle försöka att sabotera den rent fysiskt. Den stora risken är nog att man slumpmässigt skulle drabbas om hela bilflottor blir mål för en hackerattack. Tänk dig att ett visst datum vägrar alla fordon av ett visst märke att starta och måste tas till verkstan. Här blir biltillverkarna lidande om ägarna till sist tröttnar på märket.
Tomas Olovsson menar att så kallade ”remote software updates” måste bli standard i branschen, det vill säga att man kan uppdatera programvaran över Internet precis som Microsoft regelbundet gör med Windows.
– Det är en utopi att tro att det skulle räcka att fixa problem vid en återkallelse eller vid nästa service, som ju kan dröja ett år eller två. Hittar man problem måste de åtgärdas så snart som möjligt för att de inte ska bli allmänt kända och utnyttjas av hackers i större skala.
Men ansvaret ligger inte bara hos biltillverkarna.
– Vi bilägare ska kanske inte alltid efterfråga den nyaste tekniken. Risken finns att saker kommer ut innan de är färdigtestade, bara för att biltillverkarna vill vara först ut med det senaste. Om vi hela tiden kräver det senaste driver vi dem i fördärvet.
Diskutera: Oroar du dig för bilhackers?
Hackerattacker likt denna kan bli allt vanligare i framtiden.
– Självklart är det så att ju mer uppkopplad du är, desto mer riskabelt blir det. Bilar börjar kommunicera alltmer med sin omgivning och överallt där det finns trådlös kommunikation, där kan man också hitta svagheter och möjligheter för externa angripare att göra något. En stendum bil kan du kanske inte göra så mycket med, men på en bil med självkörande egenskaper kan du i princip ta över gas och broms, säger Tomas Olovsson.
Han är docent vid Chalmers Tekniska Högskola och forskar om IT-säkerhet i bilar. Han fortsätter:
– Fordonsindustrin har länge jobbat med krocksäkerhet, men IT-säkerhet har inte varit aktuellt innan. Här måste man tänka om, och det tror jag att många biltillverkare gör.
Det finns runt 50 miljoner rader kod i nya fordon och hälften av den sitter i telematiksystemet. De uppkopplade infotainmentsystemen på nya bilar utgör alltså en stor attackyta för sabotage. Men ett fordon blir inte sårbart bara genom att det har 3G/4G-kommunikation med omvärlden. Det finns flera andra vägar att bryta sig in i systemet.
Elektronikföretaget Intel har listat femton attackytor på nya bilar. Som exempel nämns Bluetooth och den så kallade OBD II-porten, diagnosuttaget. De flesta säkerhetsriskerna på Intels lista är olika typer av ECU:er. Förkortningen ECU står för Electrical Control Unit och en modern bil innehåller hundratals av dessa små datorer. ECU:er skickar meddelanden om allt från däcktryck till hastighet och säkerhetsrisken med dessa nätverksuppkopplade enheter uppstår om de kan förmedla annat än vad som är tänkt.
– Däcktrycks-ECU:n ska bara kunna skicka information om just däcktryck, det finns ingen anledning att den ska kunna skicka exempelvis vilken hastighet du har, säger Tomas Olovsson och fortsätter:
– Informationen från alla ECU:er måste styras, den ska inte kunna komma varsomhelst ifrån och kunna gå överallt. Här måste biltillverkarna bygga en sund arkitektur internt och låsa andra vägar.
Behöver vi oroa oss för att någon ska hacka sig in på just vår bil? Egentligen inte, enligt Tomas Olovsson.
– Den nya tekniken har många fördelar och alltmer uppkopplade bilar leder definitivt till ökad trafiksäkerhet, vilket mer än väl överväger de eventuella problem man riskerar att få. Jag skulle inte vara mer orolig för att någon skulle hacka sin in på min bil än om de skulle försöka att sabotera den rent fysiskt. Den stora risken är nog att man slumpmässigt skulle drabbas om hela bilflottor blir mål för en hackerattack. Tänk dig att ett visst datum vägrar alla fordon av ett visst märke att starta och måste tas till verkstan. Här blir biltillverkarna lidande om ägarna till sist tröttnar på märket.
Tomas Olovsson menar att så kallade ”remote software updates” måste bli standard i branschen, det vill säga att man kan uppdatera programvaran över Internet precis som Microsoft regelbundet gör med Windows.
– Det är en utopi att tro att det skulle räcka att fixa problem vid en återkallelse eller vid nästa service, som ju kan dröja ett år eller två. Hittar man problem måste de åtgärdas så snart som möjligt för att de inte ska bli allmänt kända och utnyttjas av hackers i större skala.
Men ansvaret ligger inte bara hos biltillverkarna.
– Vi bilägare ska kanske inte alltid efterfråga den nyaste tekniken. Risken finns att saker kommer ut innan de är färdigtestade, bara för att biltillverkarna vill vara först ut med det senaste. Om vi hela tiden kräver det senaste driver vi dem i fördärvet.
Diskutera: Oroar du dig för bilhackers?
Var tredje orolig
Enligt en färsk undersökning från teknikföretaget Capgemini svarar 38 procent att de inte vill använda sig av uppkopplad teknik i bilen eftersom de är oroade för säkerhetsriskerna.
Mer från Vi Bilägare
Ämnen i artikeln
Genom att anmäla dig godkänner du OK-förlagets personuppgiftspolicy.
Kommentarer
Överraskande artikel. Det innebär ju att den som åker i bilen inte behöver ha körkort. Eller?
Skulle nog aldrig godkännas i Sverige att klassa bildatorn som förare.
http://www.aftonbladet.se/partnerstudio/digitalalivet/c4a52b11-139b-47dc-968b-962c5cc03ddc@omni
Jag jobbar till stor del med datorsäkerhet. Alla såna här idéer är stendumma. Fick jag välja skulle fordonen inte ha några trådlösa gränssnitt överhuvudtaget. Möjligtvis extremt lokala / korträckvidds nyckeltaggar. Glöm 400 meter av något överhuvudtaget. Nu finns ju ändå samma exploitrymd innuti ett fordon som inte har trådlösa gränssnitt, men det kräver iaf forcerad access till hårdvaran för att bryta sig in och avlyssna CAN-bussen eller liknande.
Det stora problemet med teknik är ofta inte tekniken själv utan garantin för att fordonen följer någon form av uppdatering och säkerhetsanalys av fordonen. Så idag så förbinder sig INGEN mjukvarutillverkare något vad gäller mjukvara. Det som behöver är lagliga ändringar. Precis som elsäkerhet och radiofrekvensbandssäkerhet så måste mjukvara kvalificeras. Det behöver inte nödvändigtvis innebära att man får mjukvaran granskad utan att man har en plan och ett rimligt agerande för all mjukvara man släpper ut på marknaden.
Det skulle innebära att om ett företag blir varse om en exploit och inte erbjuder kunder att korka igen den inom rimlig tid kan få juridiska konsekvenser (kosta många $$$). Det gäller all form av mjukvara, inte bara bilar.
Det stora problemet med mjukvara idag är inte något annat än lagligt ansvar. Idag kan man ha lagligt ansvar för ett system (bil) men t.ex. vem har ansvar för att din hemrouter inte klappar ihop? Eller ditt trådlösa larm? Eller din trådlösa TV? Eller din trådlösa dator/playstation/ljudanläggning?
Alla dessa system kan användas mot en individ på ett intrikat sätt.
Det måste helt enkelt bli dyrt att släppa skit som går sönder och som man inte tar något ansvar för.
Observera att det konto du använder för att kommentera artiklar skiljer sig från det konto som används för att logga in och läsa Premium-innehåll.