I takt med att bilar blir allt mer uppkopplade ökar också risken för intrång, något som experter varnat för länge nu.
I ett uppmärksammat fall från 2015 fick Fiat/Chrysler att återkalla 1,4 miljoner bilar efter att två amerikanska säkerhetsforskare visat hur enkelt det var hacka en Jeep Cherokee.
Sedan dess har mycket hänt. Exempelvis håller både amerikanska SAE och Internationella standardiseringsorganisationen ISO just nu på att ta fram en ny cybersäkerhetscertifiering för fordonsindustrin kallad ISO / SAE 21434.
Men, även om något sådant blir verklighet kommer riskerna finnas kvar. I en ny rapport har säkerhetsföretaget Trend Micro tittat närmare på 29 möjliga ”attackscenarier” som en uppkopplad bil kan utsättas för.
Det gäller både attacker som kan utföras på avstånd – och inifrån bilen. Även mer indirekta angrepp är möjliga, exempelvis mot infrastruktursystem bilen är uppkopplad till.
Livsfarligt med överbelastningsattacker
I rapporten graderas riskerna de olika attackscenarierna utgör utifrån hur pass stor förståelse en angripare behöver ha för uppkopplad bilteknik för att kunna utföra dem.
Överlag anser rapportförfattarna att risken är medelhög, men knappt en av fem (17 procent) av scenarierna klass som högrisk. Dessa ska bara kräva att angriparen en viss eller begränsad förståelse av tekniken.
Eftersom uppkopplade bilar i allt större grad tar hjälp av molntjänster för att driva sina system (både elektriska och elektroniska, ”E/E”) är de sårbara för så kallade överbelastningsattacker. Slås anslutningen till molnet ut kan konsekvenserna bli allvarliga.
”Beroende på om det finns en lokal processor i bilen som kan köra hela bilens E/E-arkitektur i frånvaro av molnet, kan bilar krascha (i dubbel bemärkelse, reds. anm.) och dödsfall skulle bli oundvikliga”, står det i rapporten.
Även överbelastningsattacker mot infrastrukturssystem utgör ett stort hot.
”Överbelastningsattacker mot smarta transportsystem (ITS) skulle kunna överväldiga uppkopplade bilars kommunikationssystem och utgöra en hög risk för olyckor”, skriver Trend Micro i ett pressmeddelande.
Ett annat högriskscenario är att bilars radar- och lidar-sensorer som används av dess olika säkerhetssystem slås ut med störningsutrustning, som ofta är enkel för en angripare att använda.
Ett scenario som är mindre farligt för individen men som däremot utgör en bedrägerimöjlighet är att hackare ”lurar” självkörande taxibilar att köra fejkade resor för att tjäna mer pengar.
Skickligare hackare kan även utnyttja uppkopplade bilars system för mjukvaruppdateringar över nätet (OTA) för att istället ladda ner skadlig kod.
Kommer med riktlinjer
”Inget försvar är oigenomträngligt”, skriver rapportförfattarna. I alla fall för bestämda angripare. ”I ett nötskal är cyberangrepp och dataintrång oundvikliga”, fortsätter de. Därför är det viktigt att biltillverkare agerar snabbt på eventuella angrepp och sedan tar lärdom av dem.
Många uppkopplade bilar är idag lätta att upptäcka för den som har rätt verktyg. I rapportförfattarnas fall använde de en öppen sökmotor. Biltillverkarna bör använda enkryption i högre grad för sina system, menar Trend Micro.
Eventuella tredjepartsprogram eller -appar som används bör också granskas noggrant av tillverkarna innan de tillåts i deras system.
Företaget rekommenderar även att biltillverkarna att erbjuda belöningar till så kallade ”vita hattar”, hackare och experter som upptäcker säkerhetshål i deras system. Det är något som både Fiat/Chrysler och Tesla gjort tidigare.
