Egyre több kibertámadás érheti az autókat

Az önvezető járművek, digitális szolgáltatások és mesterséges intelligencia térnyerésével az autók gyakorlatilag guruló számítógépekké váltak – ezzel párhuzamosan egyre nagyobb felületet nyújtanak a kibertámadásoknak. A német BSI friss jelentésben hívja fel a figyelmet az iparági veszélyekre.

A digitalizáció új veszélyeket hoz az autóiparban

A német Szövetségi Információbiztonsági Hivatal (BSI) szerint a modern gépjárművek egyre inkább digitális rendszerekre épülnek, emiatt a gyártóknak és beszállítóknak már a tervezéskor figyelembe kell venniük az IT-biztonsági szempontokat.

„A digitális támadási felületek az autóiparban riasztó ütemben növekednek”

– fogalmazott Thomas Caspers, a hivatal alelnöke, a 2025-ös közlekedésbiztonsági kiberjelentés közzétételekor, a müncheni IAA autókiállítás előtt.

A BSI szerint a járműarchitektúrákban egyre hangsúlyosabb szerepet kapnak az online frissítések, a digitális szolgáltatások és a hálózatba kapcsolt vezérlőegységek. Emellett nő az AI-alapú asszisztens rendszerek használata, ami tovább bonyolítja a működést, és egyben növeli a sebezhetőségeket. A biztonságos jármű-ökoszisztéma kialakítása így állandó feladatot jelent a szektor számára.

A 2024 februárja és 2025 márciusa között gyűjtött adatok alapján a BSI 107 esetet elemzett, ahol IT-rendszerekhez kapcsolódó sebezhetőséget vagy incidenst észleltek az autóiparban. Ezek túlnyomó többségénél fizikai hozzáférés vagy közeli kapcsolat (például Bluetooth vagy WLAN) kellett a kihasználáshoz, de 18 esetben interneten keresztül is elérhetőek voltak a rendszerek.

A fedélzeti rendszerek a hackerek elsődleges célpontjai

A legtöbb esetben (59-ből 46) a problémákra kutatók, etikus hackerek világítottak rá, és csak kevés példát találtak tényleges bűncselekményekre. Ennek ellenére az infotainment rendszerek jelentik az egyik legfőbb kockázatot – ezek ugyanis sokféle külső kapcsolódási lehetőséget kínálnak.

Egy esetben például biztonsági kutatók 12 különböző sebezhetőséget egyesítettek egy cseh gyártó infotainment rendszerében, és Bluetooth-on keresztül sikeresen telepítettek kártevőt. Ezzel nyomon tudták követni az autó helyzetét és lehallgatták az utastérben elhangzó beszélgetéseket – mintegy 1,4 millió autó lehetett érintett.

Egy másik támadás egy japán autógyártó rendszerét célozta: először Bluetooth-on keresztül fértek hozzá a fedélzeti rendszerhez, majd mobilhálózaton keresztül is teljes irányítást szereztek. Ez lehetővé tette számukra, hogy lehallgassák a sofőrt, nyomon kövessék az autó helyét, sőt akár a kormányzást is manipulálják.

További problémát jelentett, hogy a QNX nevű szoftverplatform – amit többek között a BMW, a Volkswagen és az Audi is használ – szintén kritikus sérülékenységeket tartalmazott. Ezek közül az egyik távoli kódfuttatást is lehetővé tett.

Tömeges adatszivárgás és új uniós szabályozás

A BSI emlékeztetett arra, hogy a Chaos Computer Club nemrég felfedett egy súlyos hibát a Volkswagen rendszereiben: egy konfigurációs hiba miatt elektromos járművek helyadatainak terabájtnyi mennyisége szivárgott ki az internetről, így hozzáférhetővé váltak mintegy 800 ezer autó és 600 ezer ügyfél – köztük név és lakcím – adatai.

Egy másik szakértő egy japán gyártó online portáljában fedezett fel olyan hibákat, amelyek révén távolról is lekérhette az autók helyzetét Észak-Amerikában és Japánban – sőt képes lett volna más járművek kinyitására és beindítására is.

A jelentés kiemeli: az uniós NIS2 irányelv új kötelezettségeket ró az autóipari cégekre. Ezek közé tartozik az érintett vállalatok nyilvántartásba vétele és a komolyabb biztonsági incidensek kötelező jelentése. A BSI hangsúlyozza, hogy szemléletváltásra van szükség: a biztonsági hibák nyíltabb megosztása és az IT-biztonság minőségként való kezelése kulcsfontosságú – írta meg a Heise.

[Archivált média]