Din elbil kan hackes – og du kan ikke beskytte den

Det virker måske som et skrækscenarie, men elbiler kan som alle andre computersystemer hackes. Det kan få enorme konsekvenser, lige fra biler, der ikke kan starte, til biler, der forulykker i høj hastighed.

Hackerne har heller ikke været sene til at rette deres opmærksomhed mod elbilejerne, hvor de bruger både kendte og nye metoder.

”Den gode nyhed er, at det ikke er nogen enkel sag at hacke en elbil, det kræver meget avancerede metoder. Den dårlige nyhed er, at brugerne ikke kan beskytte bilerne, som de kan med deres hjemmecomputer, og at hackernes nye metoder rammer os på områder, der i høj grad er helt nye for alle,” siger Leif Jensen, it-sikkerhedsekspert hos ESET Nordics.

Den mest solgte elbil i Danmark, Tesla, får løbende softwareopdateringer fra producenten, og det er her, hackernes adgang til bilens systemer er. Men ifølge Leif Jensen kræver det, at de er kommet ind i Teslas softwareafdeling og har fået installeret ondsindet software der.

For ham kommer denne trussel mod vores elbiler derfor ikke fra de traditionelle hackere, men fra fjendtlige nationer, der har muligheder for at infiltrere organisationer over en årrække og på den måde komme så langt ind i organisationerne, at det er muligt at inficere systemer inde fra.

”Her er der så enorme perspektiver. For hvis det er muligt at inficere en bils computersystem med ondsindet kode, er der vidtrækkende muligheder for at lave ballade. En mulighed ville f.eks. være at overophede elbilers batteri og få det til at bryde i brand. Men det er ikke et aktuelt eller presserende problem,” siger Leif Jensen.

Langt mere problematisk er det, at de cyberkriminelle forsøger at lokke elbilejere til at scanne falske QR-koder, når de tanker bilen op.

”Det kalder vi for Quishing, og vi har det det i stigende grad her i Danmark. De cyberkriminelle klistrer falske QR-koder op på ladestanderne, ofte ledsaget af en besked om, at brugerne betaler for opladning ved at scanne QR-koden. Problemet er naturligvis, at koden blot lokker folk til at give oplysninger og penge til de kriminelle, og at opladningen aldrig bliver betalt via linket,” forklarer Leif Jensen.

Det er et attraktivt område for de cyberkriminelle, for opladning af elbiler og betaling for opladningen er i høj grad ny for rigtig mange, og det gør folk til lette ofre for denne type scam.

”Mange har rækkeviddeangst; de står og skal oplade her og nu, og hvis man ikke har et abonnement eller måske kommer til en ny type ladestander, så bliver man hurtigt i tvivl om, hvordan man betaler for opladning,” fortæller Leif Jensen.

Derfor er det vigtigt at være opmærksom på, om QR-koden ser ud, som om den er en del af det originale design, eller om den måske er sat på senere. Leif Jensen har et par gode råd, når du står ved ladestanderen:

• Scan aldrig en kode, medmindre det er terminalens skærm, der viser den
• Brug altid ladestanderens app til at betale med, hvis overhovedet muligt
• Husk, at mange ladestandere, f.eks. Teslas SuperChargere, aldrig beder kunderne om at gennemføre en betaling med en QR-kode

Endelig ser Leif Jensen også et problem i modificering af elbiler.

”Det er blevet almindeligt at tilslutte tredjeparts udstyr til de nye elbiler, udstyr, der får direkte adgang til bilens computersystem. Her er det stort set umuligt at se, hvad du åbner for, og om du som bruger ad den vej åbner for, at der kan installeres skadelig software på bilens computer. Her skal vi for alvor være forsigtige. Det er et skråplan og en vej ind for ondsindede spillere, der ad den vej kan lave supply-chain-angreb,” forklarer Leif Jensen.

Leif Jensen slutter af med at gentage, at han ikke ser et problem her og nu. Men i takt med, at elbiler bliver mere udbredte, at softwareopdatering bliver stadig mere almindelig og påkrævet, vil elbiler, som alle andre computersystemer, blive udsat for hackingforsøg.

”For mange cyberbanditter handler det om penge, og mange elbiler giver en stor angrebsflade og potentielle indtægter. Samtidig er bilerne et potentielt våben i hænderne på fjendtlige nationer, og det må vi ikke glemme,” slutter Leif Jensen.