Bilköer kan skapas av hackare som påverkar trafikstyrningssystem. De kan också tömma områden på trafik. Förutsättningen är att många använder navigationssystem som Google eller Waze. Det visade en tysk forskare på Blackhat Europe.

Navigeringssystemen visar inte bara vägen, utan varnar också för trafikstockningar. Om det är långa köer kan de rekommendera en annan väg.

Google och Waze visar vägen gathörn för gathörn genom appar i smarta mobiler. De använder också information från telefonerna för att analysera trafiken i realtid. Det går ju inte att hemlighålla användarnas data samtidigt som man analyserar trafiken, och det ger hackare en ingång till att lura trafiksystemet att registrera saker som inte finns. Det säger Tobias Jeske, doktorand på Hamburgs tekniska universitet, till IDG News.

– Det behövs ingen särskilt utrustning och man kan manipulera trafikdata i hela världen, säger han.

Googles navigeringssystem skyddar platsinformationen genom en så kallad tunnel i dataöverföringen. Det går inte att avlyssna eller manipulera informationen utan att det märks. Men tunneln gör ingen nytta ifall angriparen kontrollerar ingången till tunneln, säger Jeske.

Jeske demonstrerade detta genom att göra en så kallad man-i-mitten-attack på en smart mobil med operativsystemet Android 4.0.4. Han kopplade in sig i kommunikationen mellan telefonen och Google. Eftersom han kom in före ”tunneln”, som är ett slags kryptering, kunde han sända falsk information utan att upptäckas.

Kör man en sträcka och samlar in den information som skickas till Google kan man sedan sända den en eller flera gånger till. Det krävs bara att man ändrar tid och några andra uppgifter.

Det ser då ut som om flera bilar skickar uppgifter.

Man behöver faktiskt inte ens ha kört sträckan, visade Jeske.

Att manipulera Wazes system är svårare, eftersom alla överföringar är knutna till konton. Vill man simulera flera bilar måste man öppna flera konton.

Givetvis, fortsatte Jeske, krävs det att det finns många användare av Waze eller Google i samma område.

Motmedlet, enligt Jeske, är att tillverkarna förser informationen med engångsautentisering med tidsangivelse. Då går det inte att använda samma data flera gånger.