Forskere advarer: El-løbehjul har store IT og privacy fejl
I en ny rapport afsløres en række sårbarheder i de populære el-løbehjul, der i dag er at finde på ethvert gadehjørne i de største danske byer. Brugere af løbehjulene risikerer at blive ledt ad gale veje, få stjålet deres data eller komme fysisk til skade, lyder det i rapporten.
El-løbehjul udgør stor privacy risiko
Interessen for el-løbehjul har været så stor, at der i dag findes flere tusinde fordelt i Danmarks storbyer – mange synes de er sjove og praktiske at suse rundt på. Men de er også farlige, lyder det i ny rapport.
Forskere i computervidenskab på University of Texas, San Antonio (UTSA) har opdaget en række sårbarheder, der kan være til fare for løbehjulenes mange brugeres sikkerhed og privatliv. Rapporten fremhæver en række faktorer, der kan misbruges af nogle aktører, herunder udnyttelse af sårbarheder i smartphone-applikationen og kommunikationskanaler, udvinding af data fra tjenesteudbydere, aflytning af brugere, der benytter løbehjulenes kommunikationskanaler gennem hardware eller software og GPS-systemer der fupper brugere til uønskede destinationer.
En hovedfaktor, der øger risikoen for angreb, har at gøre med den Bluetooth-teknologi, løbehjulene benytter. Bluetooth Low Energy (BLE), som de fleste elektriske løbehjul er afhængige af, kræver at brugeren har aktiveret Bluetooth og forbindelse til internettet på sin smartphone.
Personfølsomme data, der per automatik indsamles af tjenesteudbyderne bag løbehjulene, er i risikozonen, advares der mod. Hvis delingen af data hverken er reguleret eller anonymiseret, kan informationen blive udnyttet til at gruppere brugere baseret på deres data og oprette såkaldte “brugerprofiler”.
En angriber kan, ifølge rapportens forfattere, “bruge information til at lære om brugerne og dernæst strategisk placere el-løbehjul i byen eller lokke brugere med specialtilpassede reklamer på sociale medier mv.”.
Se også: Google Maps får navigation til nærmeste løbehjul
Virus i el-løbehjul kan blive skyld i fysisk skade
Forskerne advarer også om fysisk tilskadekomst i et publiceret udsnit af undersøgelsen. Det vil blandt andet kunne ske, hvis der pilles ved et løbehjuls elektroniske og mekaniske komponenter.
“Når et el-løbehjul er anskaffet, kan angriberen installere ondsindet software, erstatte eller helt fjerne vigtige komponenter, før de sætter løbehjulet ud på gaden igen. Derefter kan de styre løbehjulet eller i al hemmelighed indsamle data fra køretøjet og befolkningen i dets område,” skriver forfatterne bag rapporten.
Rapporten beretter yderligere, at angribere “kan påføre skade på brugere ved at fjernstyre eller forstyrre et el-løbehjuls bremser, gøre skade på dækkene eller andre fysiske skader, der kan sætte køretøjet ud af funktion”.
Se også: Nyheder om el-løbehjul