Flere titalls millioner Volkswagen-biler kan ha sårbarheter i sitt låssystem, ifølge en rapport som legges frem fredag. Foto: REUTERS/Kim Hong-Ji TPX IMAGES OF THE DAY Foto: Kim Hong-ji / Reuters
– Millioner av biler utsatt for «kodeknekkere»
En betydelig andel av de 100 millioner bilene Volkswagen Group har solgt siden 1995 kan låses opp av hackere, konkluderte en gruppe britiske forskere nylig. Det ble også funnet sårbarheter hos andre bilmerker.
Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon
Artikkelen fortsetter under annonsen
Problemet omfatter en rekke biler produsert i perioden 1995 til 2016, inkludert Volkswagen og modeller med merkene Audi, Seat og Skoda, melder BBC News.
Angriperne behøver en hjemmelagd radio til omkring 300 kroner (og en hel del teknisk kunnskap), skal vi tro forfatterne av den ferske studien.
Feilen finnes i nærmest samtlige Volkswagenbiler solgt siden 1995, ifølge rapporten (PDF) som skal legges frem under datasikkerhetskonferansen Usenix i Texas fredag.
I studien blir to forskjellige angrepsformer mot ulike bilmodeller beskrevet. Forsøkene er gjennomført av forskere ved Birmingham-universitetet og det tyske sikkerhetsselskapet Kasper & Oswald.
«Vi viser at sikkerheten i de nøkkel-løse adgangssystemene i de fleste kjøretøyene VW Group produserte mellom 1995 og i dag avhenger av noen få, globale hovednøkler», skriver forskerne bak rapporten.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenLes også: Tyven kan stjele bilen din på 15 sekunder
«Kloner» nøkkelkoder
Denne billige, hjemmelagde radiomottakeren var ifølge studiens forfattere tilstrekkelig til å avlytte og ta opp kodesignaler, forfalske et nøkkelsignal og blokkere bilens mottak av signaler. Faksimile fra rapporten «Lock It and Still Lose It—On the (In)Security of Automotive Remote Keyless Entry Systems».
Tyver med rett utstyr og teknisk kunnskap kan ifølge rapporten fange opp signaler fra bilens nøkkelbrikke og «klone» informasjonen. Dermed kan en eventuell inntrenger fritt åpne og låse bilen.
Den samme krypteringsnøkkelen kan dessuten deles av flere biler av samme merke, som gjør at et vellykket angrep mot en bil kan utsette tusener av kjøretøy for samme risiko.
Metoden ble utprøvd på en rekke modeller fra Volkswagen group, melder Wired: Audi A1, Q3; Seat Ibiza, Leon, og Alhambra; Skodas Fabia 1, 2, Octavia, SuperB, Yeti; og VWs Amarok, Caddy, e-Up Golf 4, 6, og Polo.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenForskere ved Universitetet i Birmingham testet angrepet på flere bilmerker. Volkswagen blir i rapporten omtalt som mest sårbart.
Likevel betrygger studiens forfattere at bileiere foreløpig ikke behøver bekymre seg for mye, da detaljer om forsøkene og de sårbare kryptografiske nøklene ikke blir avslørt i rapporten.
Artikkelen fortsetter under annonsenLes også: Dette kan bli fremtiden i bilen din
– Kryptografisk katastrofe
Forskerne kom frem til nøklene ved «reverse engineering» av det nøkkelløse adgangssystemet i de berørte bilmodellene. Prosessen ga dem en kodenøkkel som kunne brukes til en rekke andre biler.
– Vi ble sjokkert, sier Timo Kasper ved det tyske sikkerhetsselskapet Kapser & Oswald til BBC.
Forsiden til rapporten som vekker oppsikt i sikkerhetsmiljøer denne uken. Faksimile.
– Millioner av nøkkelbrikker som bruker de samme hemmelighetene; fra et kryptografisk ståsted er det en katastrofe.
Før studien ble offentliggjort gjorde forskerne en avtale med Volkswagen om at deler av funnene skulle holdes hemmelige.
Under forsøkene ble det også påvist sårbarheter i kodesystemet Hitag2, som brukes i kjøretøy produsert av blant annet Alfa Romeo, Chevrolet, Peugeot, Lancia, Opel, Renault og Ford. Denne sårbarheten har imidlertid vært offentlig kjent siden 2012.
Artikkelen fortsetter under annonsen– Det er noe bekymringsfullt at sikkerhetsmetoder fra 90-tallet brukes i nye kjøretøy, sier hovedforfatteren av rapporten, Flavio D. Garcia ved Birmingham-universitetet, til Wired. Han mener bilprodusentene er nødt til å ta større ansvar:
Artikkelen fortsetter under annonsen– Dersom vi skal ha sikre, selvkjørende, sammenkoblede biler er dette nødt til å endre seg.
Les også: Her hindrer Teslas autopilot alvorlig ulykke
Hemmeligholdt andre sårbarheter
Kasper & Oswald hevder det finnes «minst ti andre, svært utbredte mønstre for dataangrep mot andre bilmerker», som det sikkerhetsselskapet har ventet med å offentliggjøre etter avtaler med de berørte selskapene.
Tesla Model S i autopilot-modus. Etterhvert som selvkjørende kjøretøy blir vanligere vil fokuset på datasikkerhet måtte skjerpes ytterligere hos bilprodusentene, advarer eksperter. REUTERS/Alexandria Sage/File Photo Foto: Staff / Reuters
Volkswagen uttaler til BBC at de samarbeider med de britiske forskerne, og legger til at flere nyere biler ikke er berørt av problemet.
– Dette gjelder eldre biler fra 1995 og fremover, men ikke bilene som selges i dag, sier informasjonssjef i Volkswagen Sverige, Marcus Thomasfolk, til SVT.
Artikkelen fortsetter under annonsenHan sier bedriften byttet sikkerhetsplattform for omtrent to år siden.
Forsker i kommunikasjonssikkerhet Tomas Olovsson ved Chalmersuniversitetet ønsker å tone ned frykten for at biler skal bli stjålet ved hacking. «En vanlig tyv kan jo uansett slå i stykker ruten for å ta seg inn i bilen», sier han.
Han mener likevel problemet med sviktende datasikkerhet i biler kan øke, etter hvert som biler i stadig større grad styres ved hjelp av kommunikasjonsteknologi og selvstyrende biler kommer på markedet.
– Generelt begynner bilprodusentene å skjønne at de må gjøre noe med de svake systemene. Er de mulige å «hacke» vil folk forsøke det, sier Olovsson til SVT.
