Biler med automatisk styring er sårbare for datainnbrudd.
Krypteringen er for svak, og hackere kan velge og vrake mellom inngangsportene i datasystemene, ifølge Nasjonal Sikkerhetsmyndighet (NSM).
Intelligente Transportsystemer (ITS) brer om seg, med sensorer som måler trafikktetthet og biler som selv holder seg på veien og bremser ned for hindringer.
Les også: Studenter fant løsning på parkeringsproblem i Oslo
Lukket
Hos NSM setter senioringeniør Marie Moe ved den digitale styrken Norcert (Norwegian computer emergency response team) spørsmålstegn ved sikkerheten i disse datasystemene.
Årsaken er at de i hovedsak er lukket og basert på proprietær programvare.
– Det gjør det vanskelig for uavhengige sikkerhetsforskere å få innsyn og kunne kontrollere kvaliteten på løsningene, sier Moe.
Hun tok opp problemstillingen på ITS-konferansen i Oslo nylig.
Kontroll med USB-pinne
En rekke funksjoner i dagens biler styres av elektroniske kontrollenheter (ECU). De kommuniserer over kjøretøyets interne nettverk, kalt CAN bus (Controlled area network).
Men det spørs hvor kontrollert dette interne miljøet er.
– Her er det en rekke porter som åpner for å ta kontroll over systemet, som usb-porter og cd-spilleren og ikke minst OBD II-porten, som brukes av bilverksteder for å lese ut informasjon fra bilens elektronikk, sier senioringeniøren..
Hun ser for seg at en usb-pinne med den rette programvaren kan gi uvedkommende adgang til bilens datasystem.
– Og kanskje det er mulig ved å komme seg inn på den trådløse kommunikasjonen til bilnøkkelen, påpeker hun.
Russiske hackere: Tilgang til andres e-post: 1080 kroner
Og er du først innenfor...
Når en hacker først er innenfor, kan det være fritt frem. Ifølge Norcert er det på det rene at det ikke brukes nok og god nok kryptografi i disse systemene.
Moe er usikker på om produsentene har kjørt risiko- og sårbarhetsanalyser i utviklingsfasen. Hun tror ikke at de har sett for seg trusselscenarier for hvordan systemene kan misbrukes.
Hvis vi sammenligner med annen masseprodusert forbrukselektronikk, er det ikke alltid det lønner seg å investere i sikkerhetsmekanismer. Dermed blir det lettvint for en hacker å bryte seg inn, sier senioringeniøren.
Hun viser til dette eksemplet der to vennligsinnede hackere demonstrerer hvordan de tar kontroll over bilen i fart.
Utgått på dato
Hvis bilen er sikret etter alle kunstens regler, kan det likevel svikte ved at det er bakt inn dårlige rutiner for oppdatering av programvare.
– Eller kanskje det ikke er mulig å oppdatere den, påpeker Moe.
Og at bilen er av god kvalitet og dermed lever lenge på veien, kan i seg selv være en trussel mot den digitale sikkerheten. Sammenhengen er at systemene i bilen etter noen år går ut på dato og blir hengende etter forhold til trusselbildet.
– Vi kan se en parallell til minibankene. Det er fremdeles millioner av dem som kjører på Windows XP, men etter 8. april i år støtter ikke lenger Microsoft dette operativsystemet med ferske sikkerhetsoppdateringer, illustrerer Marie Moe.
– Så hvor sårbare er dagens selvstyrende biler?
– Det finnes en rekke hull i sikkerheten som vi ikke er klar over. Det åpner for skremmende scenarier, mener senioringeniøren.
Les også: