Liikenneministeriön testaama autojen musta laatikko vuotaa - Hakkerit löysivät haavoittuvuuden

Helsingissä viikonloppuna pidetyssä hakkeritapahtumassa löydettiin vakava haavoittuvuus Suomessa koekäytössä olleesta autojen ajotietoja keräävästä laitteesta. Laitteeseen käsiksi pääsevä vosi hakkereiden mukaan vaarantaa muun muassa auton ohjauslaitteiden hallinnan.

Kotimaa
Vakuutusyhtiön asentama musta laatikko autossa.
Ajotietoja kerään ns. musta laatikko autoon asennettuna.Petri Burtsov / Yle

Liikenne- ja viestintäministeriön testeissä käytetyn autojen mustan laatikon haavoittuvuuksia on etsitty viikonloppuna Helsingissä järjestetyssä Disobey-hakkeritapahtumassa.

– Löysimme laitteesta vakavan haavoittuvuuden. Sen suojaukset ovat alkeelliset, mikä on tyypillistä sulautetuille laitteille, kertoo Disobey-tapahtuman pääjärjestäjä Benjamin Särkkä.

Hakkereiden mukaan laitteen tekniikka on muokattavissa vahingollisiin tarkoituksiin. Haavoittuvuutta voitaisiin käyttää autoilijan henkilötietojen varastamiseen ja auton ohjauslaitteiden hallintaan.

Haavoittuvuuden hyödyntämiseksi laitteeseen on kuitenkin päästävä fyysisesti käsiksi, Särkkä huomauttaa. Teoreettisesti myös etäyhteyden saaminen laitteeseen voisi olla Särkän mukaan mahdollista, mutta sitä ei tapahtumassa testattu ajanpuutteen vuoksi.

Disobey-hakkerit ovat ilmoittaneet löytämästään haavoittuvuudesta laitteen suomalaiselle jälleenmyyjälle Semel Oy:lle, joka tapahtuman tiedotteen mukaan on kertonut ryhtyneensä toimenpiteisiin.

Semelin toimitusjohtaja osasi odottaa haavoittuvuuksia

Mustan laatikon testaus hakkeritapahtumassa tapahtui yhteisymmärryksessä Semelin kanssa.

Semelin toimitusjohtaja Börje Nummelin totesi testauksen vielä kestäessä Ylelle, että haavoittuvuuksia voi hyvin löytyä, koska laitteet ovat olleet vain kokeilukäytössä liikenneturvallisuusvirasto Trafin selvittäessä miten niillä saataisiin kerättyä tietoa ajokilometreistä mahdollisia tiemaksuja varten. Tästä syystä niiden tietoturvaan ei ole Nummelinin mukaan kiinnitetty suurempaa huomiota.

– Nämähän ovat tällaisia pilottitestauslaitteita, jotka eivät täytä EU-standardeja. Testeissä oli tarkoitus selvittää vain, että saako Trafi niillä riittävää tietoa, että se pystyy tällaisen laskun muodostamaan ja millä hinnalla, sanoo Nummelin.

Nummelinin mukaan esimerkiksi taksien käyttämissä Semelin taksamittareissa ja maksuliikennelaitteissa tietoturva on aivan toisella tasolla.

Perjantaina ja lauantaina järjestetty Disobey-hakkeritapahtuma keräsi koolle nelisensataa alan harrastajaa. Heistä kymmenkunta osallistui ajotietolaitteen hakkerointiin.