Arkiv

Hackare kunde spåra 800 000 bilar från Volkswagen, Seat, Audi & Skoda

Posted by Mikael Anderberg
Volkswagen Atlas 2023 Press
Foto: Pressbild från Volkswagen

En allvarlig sårbarhet i uppkopplade elbilar från Volkswagen-koncernen gjorde det möjligt för hackare att komma åt känslig positionsdata. Totalt berördes närmare 800 000 bilar från Volkswagen, Audi, Seat och Skoda, varav tiotusentals i Sverige. Fallet väcker frågor om hur biltillverkare hanterar sina kunders data och hur säkra de uppkopplade tjänsterna egentligen är.

  • Nära 800 000 elbilar från VW, Audi, Seat och Skoda hade en sårbarhet som gjorde positionsdata åtkomlig.
  • Cirka 68 000 av de drabbade bilarna finns i Sverige.
  • Positionsdata lagrades på Amazons servrar och låg åtkomlig för obehöriga under flera månader.
  • Sårbarheten åtgärdades först efter att visselblåsare kontaktat tidningen Spiegel och hackergruppen Chaos Computer Club.
  • En tysk politiker lät sig spåras via den officiella Volkswagen-appen för att visa hur allvarlig bristen var.
  • Volkswagen tonar ned allvaret, men tidigare skandaler gör att många efterfrågar oberoende granskning.

Lästips: Volkswagen låser hästkrafter bakom prenumeration med ID.3

Vad som hände – en sårbarhet i uppkopplade bilar

De drabbade bilarna är elbilar med inbyggd GPS och uppkopplade tjänster. Genom en sårbarhet i systemet gick det att få tillgång till känslig information om fordonen, inklusive deras position. Det gjorde det möjligt för hackare att spåra bilarna i realtid eller analysera var de befunnit sig.

Enligt uppgifter till den tyska tidningen Spiegel var problemet kopplat till hur data hanterades i Amazons molntjänster. Positionsinformationen lagrades där på ett sätt som gjorde att obehöriga under flera månader kunde komma åt uppgifterna.

Totalt berördes nästan 800 000 bilar från Volkswagen-koncernen. Det rörde sig om fordon från flera märken inom koncernen: Volkswagen, Audi, Seat och Skoda.

Av bilarna finns ungefär 68 000 i Sverige. Det innebär att ett betydande antal svenska bilägare kan ha haft sina fordonsrörelser loggade och potentiellt åtkomliga för obehöriga, utan att de själva kände till det.

Visselblåsare och etiska hackare slog larm

Sårbarheten åtgärdades inte omedelbart. Först när visselblåsare kontaktade Spiegel och den etiska hackergruppen Chaos Computer Club (CCC) började åtgärder vidtas.

CCC är känd för att granska digital säkerhet och belysa svagheter på ett sätt som ska skydda allmänheten. I det här fallet bidrog deras inblandning till att lyfta frågan offentligt och sätta press på att lösa problemet.

Ett konkret exempel: en politiker lät sig spåras

Ett tydligt exempel på hur allvarlig situationen var gäller den tyska politikern Nadja Weipperts. Hon gav hackare tillåtelse att försöka spåra hennes bil, en VW ID.3, för att illustrera riskerna.

Genom den officiella Volkswagen-appen lyckades hackarna positionera hennes bil och därmed henne som person. Hennes fordonsdata fanns i en mycket stor databas på flera terabyte med åtkomlig information.

I en kommentar till Spiegel uttryckte hon sin kritik. Hon reagerade på att hennes data verkar ha lagrats okrypterad i Amazons moln och att skyddet inte var tillräckligt. Hon säger också att hon förväntar sig att Volkswagen stoppar den här typen av hantering och anonymiserar den data de samlar in om kunderna.

Lästips: Volkswagen vägrade spåra bil med kidnappat barn innan de fick betalt av polisen

Volkswagens svar – och ifrågasatta förklaringar

Volkswagen har försökt tona ned allvaret i sina uttalanden. Till Aftonbladet uppger företaget att sårbarheten nu är åtgärdad. De beskriver attackvägen som en ”mycket komplex process” och hävdar att det bara rörde sig om ”pseudonymiserade fordonsdata”.

Enligt Volkswagen krävdes hög teknisk expertis, mycket tid och att flera säkerhetsmekanismer kringgicks för att utnyttja bristen. Samtidigt har företaget inte presenterat några tydliga belägg för hur svår exploateringen faktiskt var, vilket gör det svårt för utomstående att bedöma om beskrivningen stämmer.

Bakgrund: dieselgate och förtroendekrisen

Volkswagen har sedan tidigare en skadad trovärdighet i frågor som rör transparens och ansvar. År 2015 avslöjades den så kallade ”dieselgate”-skandalen, där företaget hade uppgett betydligt lägre kväveoxidutsläpp än vad bilarna i verkligheten släppte ut.

Det visade sig att bilarna kunde släppa ut upp till 40 gånger mer kväveoxid än angivet, något som möjliggjordes genom manipulerade utsläppstester och särskild fuskmjukvara. Den händelsen visade att företaget var berett att medvetet dölja problem.

Mot den bakgrunden finns en skepsis mot Volkswagens egna försäkringar om hur allvarlig den nya sårbarheten var och hur svårt det ska ha varit att utnyttja den.

Behovet av oberoende granskning och bättre datasäkerhet

Det aktuella fallet visar hur sårbar uppkopplad fordonsdata kan vara om den inte hanteras och skyddas på ett genomtänkt sätt. När bilar blir mer uppkopplade blir också konsekvenserna större om något går fel.

Eftersom Volkswagen hittills främst ger sin egen bild av händelsen efterfrågar många en oberoende teknisk granskning av sårbarheten, hur den utnyttjats och hur den nu har åtgärdats. Först med sådan granskning blir det möjligt att bedöma hur allvarligt läget faktiskt var och om de åtgärder som nu vidtagits är tillräckliga.

Tills dess kvarstår frågan hur väl bilägare kan lita på att deras rörelser inte loggas och exponeras på ett sätt som utsätter dem för onödig risk.

Mikael Anderberg
View More Posts
Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.
Skribent