Mängder av sårbarheter hittade hos flera bilmärken

Flera allvarliga brister i it-säkerheten har avslöjats hos många biltillverkare. Hackare kunde enkelt låsa upp och starta bilen – samt byta ägare ”på distans”.

Att kunna hålla koll på sin bil med hjälp av en mobilapp – till exempel se laddnivån eller aktivera parkeringsvärmaren – kan vara smidigt och bekvämt, och genom att ansluta bilen till nätet kan exempelvis navigationssystemet visa information om köer och olyckor i realtid.

Men tjänsterna kommer också med en allvarlig baksida. I december avslöjades en stor säkerhetsbrist i en amerikansk musiktjänst av säkerhetsingenjören Sam Curry. I samband med en konferens vid universitetet i Maryland har han nu tillsammans med flera kollegor i samma bransch hittat betydligt fler sårbarheter.

För bilägarna är det mest uppseendeväckande att hackare enkelt kunde låsa upp och starta bilar bara genom att känna till chassinummer eller mejladress – som båda är relativt enkla att komma över. Det är extra känsligt hos lyxbilstillverkare som exempelvis Ferrari där en stöldliga enkelt skulle kunna spåra förmögna ägare och utpressa dem.

Hackare kunde enkelt låsa upp och starta bilen på distans

Hackarna kunde i flera fall enkelt sätta sig själva som ägare av bilen och användarkontot. Ett företag som säljer tjänster till bilflottor ingår också i granskningen, och där kunde hackare hindra polisbilar och ambulanser från att starta och dessutom skicka falska meddelanden till utryckningsfordonen.

För biltillverkarna var den allvarligaste bristen som hittats att hackare kunde komma in i interna system och chattverktyg för att exempelvis köra skadlig kod eller komma över hemligheter.

Det är oklart om sårbarheterna bara drabbat amerikanska bilägare eller om de också kunnat utnyttjas i Europa. Alla sårbarheter som upptäckts ska vara åtgärdade och inte längre gå att utnyttja. Men granskningen belyser ändå hur dålig nivån på it-säkerheten i bilbranschen är generellt.

Så skyddar du dig

Fundera på hur mycket du värdesätter de uppkopplade tjänsterna. Använder du dem inte finns ingen anledning att skapa ett användarkonto.
Använd aldrig samma lösenord som till något annat konto på internet. Aktivera tvåstegsverifiering som innebär att du måste godkänna alla inloggningar med en annan enhet.
Begränsa informationen du delar med dig av. Måste biltillverkaren verkligen känna till ditt telefonnummer, eller används det bara för reklammeddelanden?
När du köper en bil, se till att den tidigare ägaren är bortkopplad från användarkontot.

Hela listan: Alla sårbarheter

Kia, Honda, Infiniti, Nissan och Acura

Hackare kan lokalisera och låsa upp bilen, starta motorn, blinka med strålkastarna och tuta bara genom att känna till chassinumret.
Hackare kan ta över användarkontot och hitta exempelvis chassinummer, namn, telefonnummer, adress och mejladress.
Hackare kan låsa ute befintliga ägare från sina bilar och byta kontoägare.

Kia

Hackare kan komma åt bilens 360-graderskamera på distans och se direktsända bilder från bilens omgivning.

Mercedes

Hackare kan få tillgång till hundratals interna tjänster som exempelvis chatt mellan anställda och mjukvarukod, samt även köra egen, skadlig kod på distans.

Hyundai och Genesis

Hackare kan lokalisera och låsa upp bilen, starta motorn, blinka med strålkastarna och tuta bara genom att känna till ägarens mejladress.
Hackare kan ta över användarkontot och hitta exempelvis namn, telefonnummer, adress och mejladress.
Hackare kan låsa ute befintliga ägare från sina bilar och byta kontoägare.

BMW och Rolls-Royce

Hackare kan komma in i interna återförsäljarportaler och se försäljningsdokument genom att känna till bilens chassinummer.
Hackare kan använda interna applikationer som bara BMW-anställda ska ha tillgång till.

Ferrari

Hackare kan ta över vilket användarkonto som helst utan någon insats från bilägaren, samt komma åt information om alla kunder.
Hackare kan skapa, ändra och redigera användare i Ferraris interna system och hemsidor.

Ford

Hackare kan komma åt känslig personlig information och köra kommandon i bilarna på distans.
Hackare kan ta sig in på bilägarens användarkonto och komma åt viktiga tjänster.

Porsche

Hackare kan skicka och ta emot information om bilen och dess ägare på distans.

Toyota

Hackare kan komma åt namn, telefonnummer, mejladress och lånevillkor på bilar som finansieras genom Toyotas finansiella tjänster.

Jaguar och Land Rover

Hackare kan komma åt krypterade lösenord, namn, telefonnummer, adress och bilinformation genom ägarnas användarkonto.

Spireon (tjänst för GPS-övervakning av bilar)

Hackare kan låsa upp och starta miljontals bilar genom en administrationspanel som är dåligt skyddad.
Hackare kan ladda upp och köra skadlig kod på distans.
Hackare kan ta över fordonsflottor för exempelvis polisbilar och ambulanser och hindra bilarna från att startas, samt skicka ut falska meddelanden till bilarna om att till exempel åka till en viss adress.

Källa: Sam Curry