Vi Bilägare har gjort en stor genomgång av it-säkerheten i våra långtestbilar. Du hittar alla artiklar i serien här.
Bilmärket MG, som ägs av den statliga kinesiska koncernen SAIC och som fått en raketstart på den svenska marknaden, skickar data till Kina. Det avslöjas i en unik säkerhetsgenomgång som Vi Bilägare låtit göra tillsammans med it-säkerhetsstudenter på Kungliga Tekniska Högskolan, KTH, i Stockholm.
Den kinesiska servern som MG kommunicerar med ägs av Tencent, en jättekoncern som grundades 1998. Tencent erbjuder en mängd olika teknik- och underhållningstjänster och har även planer på att utveckla teknik till självkörande bilar.
”Vi ville se hur mycket data som bilen skickar, och vart allt tar vägen”, säger it-säkerhetsstudenten Jacob Ingers.
Att köpa en ny bil innebär att du samtidigt slår till på en ny dator. De bilar som rullar ut på vägarna i dag är betydligt mer avancerade än för bara några år sedan. Biltillverkarna skryter ofta om finesser som exempelvis trafikinformation i realtid, nyckellös upplåsning och olika appar i infotainmentsystemet som ska göra billivet enklare och roligare.
Men de nya funktionerna kommer också med en okänd baksida som få har koll på. En av studenterna som granskat bilarnas it-säkerhet på djupet är Jacob Ingers.
– Vi ville se hur mycket data som bilen skickar, och vart allt tar vägen, säger han.
I projektet har vi ”smyglyssnat” på vad fem av våra långtestbilar – Tesla Model 3, Volvo V90, Seat Leon, MG Marvel R och Nissan Qashqai – skickar iväg medan de körs. Jacob Ingers trodde att bilarna skulle skicka uppgifterna helt öppet, alltså utan någon så kallad kryptering som hindrar andra från att ta del av informationen. Detta eftersom andra forskare tidigare avslöjat att vissa bilar faktiskt skickar data utan något skydd alls.
– Men så var det inte. All data var krypterad och dessutom med en väldigt bra metod. Det är orimligt att någon ska kunna knäcka den krypteringen. Vi kunde inte ta oss igenom den.
Mer intressant är dock vart bilarna skickar all information. Bilen samlar in mängder av data bara när föraren sätter sig: om dörren är öppen, bilens innertemperatur, om soltaket är öppet, bilens hastighet, om föraren bromsar, bilens oljenivå och mycket mer. När föraren kör iväg vet bilen också sin gps-position, vilken radiostation föraren lyssnar på, vem föraren ringer och hur föraren kör.
»Bilen samlar in mängder av data bara när föraren sätter sig.«
De flesta bilar skickar de här uppgifterna till ett så kallat datacenter som lagrar mängder av data från olika företag. Det är som en stor lagerlokal där varje kund, till exempel en biltillverkare, köper plats för att lagra data.
Bilarna i den här jämförelsen skickar data till teknikföretaget Amazons datacenter runt om i Europa. Men Nissan skickar även data till USA. Seat skickar också data utanför Europa och under den korta tid vi ”tjuvlyssnade” på trafiken som lämnade Seaten kontaktades inte mindre än 158 olika servrar!
Vi kan även avslöja att MG alltså kommunicerar med en kinesisk server.
Att skicka data till servrar runt om i världen är inte olagligt, men det väcker vissa frågor. Om det är personuppgifter som skickas iväg – till exempel adresser, namn, mejladresser eller något annat som kan användas för att avslöja en enskild persons identitet – är utgångspunkten att den typen av data måste stanna inom EU. Den får inte skickas till andra länder enligt den så kallade GDPR-lagen, utom i extremfall som kräver särskilt tillstånd – och inte ens då är det lagligt att skicka informationen till USA eller Kina.
– En personuppgift är all slags information som på något sätt, direkt eller indirekt, kan knytas till en person som är vid liv, säger Anna Mlynska, jurist på Integritetsskyddsmyndigheten.
Läs också: Bilarna blir ”datadammsugare” – kan ge enorma intäkter
Med hjälp av en laptop kan it-säkerhetsstudenterna Afruz Bakhshiyeva och Gabriel Berefelt ”smyglyssna” på den data som bilarna skickar iväg och tar emot.
Med den definitionen anser biltillverkarna att de uppfyller kraven. Men GDPR-experten Joakim Söderberg har en betydligt snävare bild av vad som är en personuppgift. Enligt honom kan i princip all data som skickas från bilen vara personuppgifter – och med den tolkningen är det som Nissan, MG och Seat gör olagligt.
– Det här är direkt information om en persons beteenden som kan användas för att kartlägga den personen. I varje bil finns ett unikt mönster som skiljer sig från andra bilar. Kan man identifiera en enskild bil kan man också identifiera en enskild bilägare, säger han.
Det finns även en EU-dom som innebär att ett företag kan bryta mot lagen även om personuppgifterna stannar inom EU – om själva företaget är registrerat utanför EU. Så är till exempel fallet med Tesla.
Bryter biltillverkarna mot GDPR blir det riktigt dyrt: bötesbeloppet beräknas som en procentsats på omsättningen, och det kan handla om åtskilliga miljarder.
- Biltillverkare och andra företag måste ha särskilda skäl för att få samla in uppgifter om personer. EU-förordningen trädde i kraft 2018.
- Vissa uppgifter är extra känsliga. Det handlar om exempelvis personnummer, etniskt ursprung, hälsa eller biometriska uppgifter som fingeravtryck.
- Företagen måste också upplysa om att privatpersoner har rätt att få uppgifterna raderade. Företag får inte lagra uppgifterna längre än nödvändigt.
- Företag som inte följer reglerna riskerar skyhöga bötesbelopp som baseras på årsomsättningen.
- Enligt GDPR-lagen får personuppgifter som utgångspunkt bara lagras på servrar inom EU. Det finns undantag, men de är få.
- Företag som inte följer reglerna får betala dryga böter.
- Enligt en särskild dom kan det också vara olagligt att behålla uppgifterna inom EU – så länge ett företag som är registrerat utanför EU kan ta del av uppgifterna.
- Lagen om att personuppgifterna måste stanna inom EU skulle kunna innebära att exempelvis Tesla fälls. Uppgifterna lagras visserligen inom EU men ett amerikanskt företag kan ta del av dem.
Om bilen skickar personuppgifter till Kina är det alltså olagligt, men även om det inte handlar om personuppgifter väcks frågan varför en bil vars tillverkare ägs av kinesiska staten kommunicerar med en kinesisk server. Efter visst letande säger sig MG:s kinesiska ingenjörer till slut ha hittat vad i bilen som skickar data till Kina.
– Det visade sig att en äldre version av bilens mjukvara har en särskild komponent som skickar data dit. Den är en del av musikappen och skickar iväg uppgifter till en server om appen kraschat. Den här komponenten används inte längre i den senaste mjukvaran, säger Asmus Eggert, dataskyddsansvarig på MG i Europa.
Under våra tester användes dock aldrig musikappen och den kraschade heller inte, men trots det kommunicerade bilen med Kina. När MG konfronteras med dessa uppgifter medger Asmus Eggert att bilen kommunicerar med Kina löpande – även om appen inte har kraschat.
– Det är en statuslogg som skickas iväg och den används för att analysera när appen kraschar, men den skickar data löpande även om appen inte kraschat. Det är ingen hemlig eller dold komponent.
Enligt MG gör komponenten en ”särskild kontroll med jämna mellanrum” när något i appen kraschar – men det hade den alltså inte gjort under våra tester.
Läs också: Knappast toppklass på säkerhetsnivån i Seat
När vi frågar vilken data som skickas till Kina får vi veta att det är ”loggdata om musikappens tekniska beteende” och att exempelvis gps-position eller bilens hastighet inte skickas iväg. Men det är omöjligt att verifiera.
Varför används en server i Kina och inte en i Europa?
– MG är ett kinesiskt företag och all utveckling sker i Kina. När vi till exempel implementerar en kartlösning görs det med hjälp av lokala företag och om de är baserade i Kina skickas datan till kinesiska servrar, även om det är en komponent som är tillgänglig över hela världen, säger Asmus Eggert på MG.
Rent generellt samlar nya bilar in mängder av data med hjälp av till exempel mikrofoner, kameror och gps, enligt Pontus Johnson, professor i nätverk och systemteknik och ansvarig för KTH:s nya forskningscenter. Enligt honom är det inte säkert att biltillverkarna har bilägarnas bästa som högsta prioritet.
– Det här är ett fenomen vi kan förvänta oss att se mer av och det är klart bekymmersamt. Det finns stora ekonomiska incitament för att använda all den här datan på olika sätt, till exempel att sälja den vidare. Som bilägare får man ta sig en funderare på om det är värt det, säger han.
Men att ”dra ur kontakten” och köra omkring i en nedkopplad bil får konsekvenser. Navigationssystemet kan till exempel sluta att fungera och då blir det svårare att planera en resa, till exempel med en elbil som behöver laddas längs vägen.
– De här tjänsterna kommer till ett ganska högt pris. Om det bara är statistik över bilens servicehistorik som skickas till Kina kanske det inte är så bekymmersamt. Men om man skickar data från bilens gps eller ljudupptagningar är det något helt annat. Det skapar en väldigt god bild över människors liv för den som är ute efter att spionera och det kan skapa en oro hos många, säger Pontus Johnson.
- Den som vill komma undan biltillverkarnas försök att spara känslig data om föraren och körningen får betala med förlorade funktioner.
- Om föraren ”drar ur kontakten”, det vill säga stänger av bilens internetuppkoppling och återkallar sitt samtycke att tillverkaren får samla in data, försvinner flera funktioner. Ett exempel är att navigationssystemet kanske inte fungerar som tänkt, vilket är extra viktigt för den som ska åka på långresa i en elbil. Då kan bilen inte hålla koll på vilka laddare som finns tillgängliga. Ett annat exempel är att en nedkopplad bil heller inte går att komma åt via mobilappen, till exempel för att aktivera parkeringsvärmaren.
- En lösning kan vara att skapa ett anonymt konto som inte är kopplat till en personlig mejladress. I vissa bilar går det också att använda ett så kallat gästkonto som inte kopplas till en enskild person.
Även när det gäller Seat och Nissan väcks frågor kring varför bilarna skickar data över hela världen. Det finns inga rent tekniska hinder till att bara skicka uppgifterna till europeiska servrar.
Nissan hävdar att ”personliga data skickas till och hanteras av dotterbolag och tjänsteleverantörer både inom EU och utanför”, men att alla lagar följs.
”Vi kan bekräfta att inga personliga data delas med eller hanteras av USA i senaste generationen Qashqai”, uppger Nissan.
Seat hävdar att två av de tjänster som bilen kommunicerar med finns utanför Europa, men exakt varför får vi inte veta.
Ämnen i artikeln
Kommentarer till artikeln (9)
- 22 oktober 2022 Varför skulle detta vara…
- 22 oktober 2022 Usch tyvärr besannas allt…
Genom att anmäla dig godkänner du OK-förlagets personuppgiftspolicy.