Foto: Fredrik Diits Vikström, Vi Bilägare

En ny granskning gjord av tidningen Vi Bilägare tillsammans med IT-säkerhetsstudenter från Kungliga Tekniska Högskolan (KTH) avslöjar flera missar i cybersäkerheten i de långtestbilar som tidningen varje år köper in, enligt ett pressmeddelande.

Elbilen MG ägs av kinesiska koncernen SAIC skickar konstant data till en server i Kina medan den körs. Enligt MG skickar bilen så kallad ”loggdata” till den kinesiska servern när bilens app för att lyssna på musik kraschar. Men i de tester som Vi Bilägare har låtit genomföra kontaktas den kinesiska servern alltså löpande utan att appen någonsin kraschat.

Om det bara är statistik över bilens servicehistorik som skickas till Kina kanske det inte är så bekymmersamt, enligt Pontus Johnson som är professor i nätverk och systemteknik och ansvarig för KTH:s nya forskningscenter.

– Men om man skickar data från bilens gps eller ljudupptagningar är det något helt annat. Det skapar en väldigt god bild över människors liv för den som är ute efter att spionera och det kan skapa en oro hos många, säger han.

Testet visar också att Nissan och Seat skickar data utanför EU. Om det är personuppgifter som skickas är det förbjudet, eftersom den typen av uppgifter ska hållas inom EU enligt den så kallade GDPR-förordningen. Annars väntar miljardbelopp i böter för biltillverkarna. Både Nissan och Seat insisterar på att inga personuppgifter lämnar EU, men det är alltså inget som har kunnat verifieras.

En annan säkerhetsbrist som avslöjats i MG:s elbil är att flera av bilens så kallade portar står vidöppna. Portarna används för att skicka och ta emot data över nätet, men ska inte lämnas öppna utan anledning. Ingen av de andra bilarna i Vi Bilägares test har öppna portar på det här sättet och MG blir därmed klart sämst i granskningen.

– Vi har gjort granskningen flera gånger under en längre tid för att verifiera resultatet. Vid samtliga tillfällen var flera av MG:s portar öppna, säger Afruz Bakhshiyeva som deltog i testerna.

En öppen port behöver i sig själv inte vara ett säkerhetsproblem, men det kan förenkla för hackare som vill ta sig in i bilens system och det är enligt Pontus Johnson exempel på ”slarvig utveckling”. Forskare i USA har tidigare utnyttjat den typen av sårbarhet för att kunna styra en bil med en bärbar dator från baksätet, men MG insisterar på att det inte ska vara möjligt i det här fallet.

– Den här typen av brist är ofta ett tecken på hård prispress eller tidspress. Biltillverkaren har inte resurser eller kompetens att lösa detta och är redo att ta risken det medför. Det tyder också på en dålig företagskultur där man prioriterar annat än säkerheten, säger Pontus Johnson.

MG bekräftar för Vi Bilägare att portarna är öppna och att de är kopplade till bilens interna, trådlösa nätverk som passagerarna kan koppla upp sig mot. Efter vårt avslöjande ska portarna stängas, men uppdateringen blir inte obligatorisk för bilägarna, skriver tidningen.