En nylig avsløring fra sikkerhetsforskere har sendt sjokkbølger gjennom IoT-miljøet (Internet of Things). Som rapportert av The Verge, har det blitt oppdaget kritiske sårbarheter i styringssystemene til Romo-roboten og potensielt utstyr fra teknologigiganten DJI. Sårbarheten tillot utenforstående å ta kontroll over kameraer og styringsenheter via en usikret implementering av protokollen MQTT.
Dette aktualiserer et spørsmål mange nordmenn – verdens mest digitaliserte bilister – stiller seg: Hvis en lekerobot kan kapres over nettet, hva da med bilen min som står parkert i garasjen?
Hva gikk galt med Romo?
Kjernen i problemet ligger i hvordan enhetene kommuniserer over nettet. Forskerne fant at Romo-appen, som gjør en iPhone om til en robot, brukte protokollen MQTT (Message Queuing Telemetry Transport) uten tilstrekkelig sikring. Dette er en lettvektsprotokoll som er standard for mye IoT-kommunikasjon.
Siden systemet manglet nødvendig autentisering, kunne hvem som helst med litt teknisk innsikt koble seg til serveren og potensielt se videostrømmer fra fremmede hjem. Det er en klassisk «åpen dør»-feil: Teknologien fungerer, men låsen ble aldri installert.
Kan dette skje med biler?
Det korte svaret er: Ja, og det har allerede skjedd.
Moderne biler er i praksis datamaskiner på hjul. De fleste nye biler i Norge – spesielt elbiler som Tesla, Volkswagen ID-serien, og kinesiske nykommere som NIO og Xpeng – er permanent koblet til internett. De bruker lignende arkitektur som den sårbare roboten for å kommunisere med produsentens servere.
Paralleller mellom roboter og biler
- Kommunikasjonsprotokoller: Mange bilsystemer bruker nettopp MQTT eller REST API-er for å sende data om batteristatus, posisjon og for å motta kommandoer som «lås opp døren» eller «start forvarming».
- App-styring: Akkurat som Romo-roboten styres via en mobilapp, bruker vi apper til å fjernstyre bilene våre. Svakheter i API-et (grensesnittet mellom appen og serveren) er en av de vanligste angrepsveiene.
Historiske skrekkeksempler
Vi trenger ikke spekulere i om dette er mulig; historien viser at bilindustrien har slitt med lignende problemer:
I 2022 og 2023 demonstrerte sikkerhetsforskeren Sam Curry og hans team hvordan de kunne låse opp, starte og spore kjøretøy fra merker som Kia, Honda, Hyundai og Nissan kun ved å utnytte svakheter i telematikksystemene. I noen tilfeller kunne de ta full kontroll over brukerkontoer kun ved å vite bilens understellsnummer (VIN), som er synlig gjennom frontruten.
«Sikkerhetshull i biler handler sjelden om at noen klipper ledninger, men om usikrede servere og dårlig API-sikkerhet – nøyaktig samme problemstilling som vi nå ser med Romo.»
Hvorfor er dette kritisk for Norge?
Norge ligger på verdenstoppen i andel tilkoblede kjøretøy. Når vi omfavner «Software Defined Vehicles» (SDV), øker angrepsflaten. En sårbarhet i en lekebil er ubehagelig på grunn av personvern (kamera), men en sårbarhet i en bil på 2 tonn handler om fysisk sikkerhet.
Det positive er at bilindustrien er underlagt strengere reguleringer enn leketøysprodusenter. FN-regulativet UNECE R155 krever nå at bilprodusenter har sertifiserte styringssystemer for datasikkerhet for å få typegodkjenning i Europa. Dette tvinger frem en helt annen sikkerhetskultur enn hos oppstartsbedrifter som lager gadgets.
Konklusjon: Tillit under press
Nyheten om Romo-hacken er en påminnelse om at «S»-en i «IoT» ofte står for Sikkerhet – altså at den mangler. Selv om biler generelt har flere lag med beskyttelse enn en hobbyrobot, viser forskning at prinsippene for angrep ofte er de samme.
For norske forbrukere er rådet klart: Aktiver tofaktorautentisering (2FA) på bil-appen din hvis mulig, hold programvaren oppdatert, og vær bevisst på at bilen din er en del av det åpne nettet.