Sikkerhedsfarer i omdiskuterede el-løbehjuls IT

Siden de indtog de danske storbyer, har de elektriske løbehjul været udsat for en del debat. Nu har forskere i computervidenskab på University of Texas, San Antonio (UTSA) opdaget en række sårbarheder, der kan være til fare for løbehjulenes mange brugeres sikkerhed og privatliv.

Det seneste år er el-løbehjulenes popularitet eksploderet, og fartøjerne er blevet en favorit til at komme let og ubesværet rundt i byen for mange danskere. Faktisk har interessen for løbehjulene været så stor, at der i dag findes flere tusinde fordelt på Danmarks storbyer. 

En forskningsrapport om el-løbehjulenes sikkerhedshuller præsenteres på AutoSec 2020, hvor sikkerhedsfolk mødes for at drøfte sikkerhed i fremtidens fartøjer. Rapporten kommer til at fremhæve en række faktorer, der kan misbruges af nogle aktører, herunder:

• Udnyttelse af sårbarheder i smartphone-applikationen og kommunikationskanaler
• Udvinding af data fra tjenesteudbydere
• Aflytning af brugere, der benytter løbehjulenes kommunikationskanaler gennem hardware eller software
• Fuppe GPS-systemer til at vildlede brugere til uønskede destinationer

Internet-of-things udgør trussel

En hovedfaktor, der øger risikoen for angreb, har at gøre med den Bluetooth-teknologi, løbehjulene benytter. Bluetooth Low Energy (BLE), som de fleste elektriske løbehjul er afhængige af, kræver at brugeren har aktiveret Bluetooth og forbindelse til internettet på sin smartphone.

IT-sikkerhedsvirksomheden Bitdefender estimerer, at der i 2020 vil være 20 milliarder IoT-enheder forbundet til internettet. IoT-enheder er elektroniske produkter ligesom el-løbehjulet, der kommunikerer med internettet. Flere eksempler på internetopkoblede produkter er overvågningskameraer, lyspærer og digitale assistenter. “Størstedelen af dem står helt ubeskyttet mod indbrud og tyveri af data. Desværre adresserer virksomhederne bag disse produkter ofte slet ikke de kendte sårbarheder. Derfor forudser vi, at produkterne i fremtiden oftere vil blive misbrugt af hackere og andre kriminelle,” fortæller ekspert i digitale trusler hos Bitdefender, Bogdan Botezatu. 

Endnu en risiko handler om personfølsomme data, der per automatik indsamles af tjenesteudbyderne bag løbehjulene. Hvis delingen af data hverken er reguleret eller anonymiseret, kan informationen blive udnyttet til at gruppere brugere baseret på deres data og oprette såkaldte “brugerprofiler”. En angriber kan, ifølge rapportens forfattere, “bruge information til at lære om brugerne og dernæst strategisk placere el-løbehjul i byen eller lokke brugere med specialtilpassede reklamer på sociale medier mv.”.

Risiko for fysisk tilskadekomst

Forskerne advarer også om fysisk tilskadekomst i et publiceret udsnit af undersøgelsen. Det vil blandt andet kunne ske, hvis der pilles ved et løbehjuls elektroniske og mekaniske komponenter. 

“Når et el-løbehjul er anskaffet, kan angriberen installere ondsindet software, erstatte eller helt fjerne vigtige komponenter, før de sætter løbehjulet ud på gaden igen. Derefter kan de styre løbehjulet eller i al hemmelighed indsamle data fra køretøjet og befolkningen i dets område,” skriver forfatterne bag rapporten.

Rapporten beretter yderligere, at angribere “kan påføre skade på brugere ved at fjernstyre eller forstyrre et el-løbehjuls bremser, gøre skade på dækkene eller andre fysiske skader, der kan sætte køretøjet ud af funktion”.