JultikaUniversity of Oulu repository

Abstract

Technical innovations and constantly expanding role of software has made modern cars more like computers than ever before. Software has introduced new features to cars. With the addition of new features, also new sensors have been added as well. Together with connecting user accounts and devices to the vehicle, vehicles have started to gather more and more information on their users. New connective technology has made cars more connected than ever. The large amounts of information that cars now collect can be accessed from all over the globe with the use of internet. It should now be carefully determined whether safety and security measures have kept pace with the influx of these new changes.

This research was done as a literary review. Relevant material was collected by using search engines Google, Google Scholar and Scopus. IEEE Explore and Web of Science were used for searching for papers as well as for downloading them. ResearchGate was used for downloading the papers as well. Papers were also chosen by finding relevant papers from already chosen papers’ list of references. Papers were selected based on their relevance to the topic. Papers that were on the topic of vehicle information or electronic security or specifically about vehicle security regarding connections with mobile phones or other connective technology were selected.

Cars were originally designed to be closed systems. There are technical weaknesses stemming from this original design idea, that now create holes in the security of connected vehicles. This research divided these threat categories to three parts. The first category is phones themselves. The second one is the threats that come from the main connection between phones and cars which is Bluetooth. The third category is the OBD-II port. Risks from phones come from the relatively fast product cycle they have. Malware also should be taken into consideration. Bluetooth risks come from pairing issues and discoverability, and there are several types of Bluetooth attacks that should be taken into consideration. The threats from OBD-II ports come from the access it gives to the internal network of the vehicle. Problems also rise from the way OBD-II port dongles are designed, as in the worst case their security features can be abysmal. Together with the access that the port provides, it should be critical to correct this issue.

All of these threat categories could enable attackers to gain complete access to the vehicle’s systems. They can also collect information from the vehicle or control the vehicle’s different systems like telematics unit, or even go as far as controlling the safety critical systems like steering and braking.

The main contribution of this research was presenting several studies that demonstrated reasons why the threat from connecting phones to connected vehicles is real and should be taken very seriously. A valuable contribution was also in showing several sources together on how serious these threats can be and how much control of the vehicle and its data attackers can achieve.

Tiivistelmä

Tutkimus käsittelee turvallisuusuhkia, joita aiheutuu puhelimien yhdistämisestä autoihin. Uudet tekniset innovaatiot ja ohjelmiston kasvava rooli ovat tehneet moderneista autoista tietokoneiden kaltaisia. Ohjelmisto on mahdollistanut uusien ominaisuuksien lisäämisen autoihin. Lisäksi autoihin on lisätty myös uudenlaisia sensoreita. Nykyään autoihin voi yhdistää erilaisia käyttäjätilejä ja laitteita, minkä vuoksi autot keräävät käyttäjistään tietoa yhä enenevissä määrin. Autoihin on lisätty myös uudenlaista teknologiaa, jonka vuoksi autojen keräämät isot tietomäärät ovat saavutettavissa mistä tahansa maapallolla. Sen vuoksi olisikin tärkeä määrittää ovatko turvallisuus toimenpiteet pysyneet näiden uusien muutoksien mukana.

Tutkimus toteutettiin kirjallisuuskatsauksena. Materiaali tutkimusta varten kerättiin käyttämällä Google, Google Scholar ja Scopus hakukoneita. Lisäksi hakuja tehtiin myös IEEE Explore ja Web of Science sivustoilla, joita käytettiin myös paperien lataamiseen ResearchGate sivuston lisäksi. Materiaalia etsittiin myös jo valmiiksi valittujen julkaisujen lähdeluetteloista. Lähdemateriaaliksi valittiin aiheeseen relevantit julkaisut. Julkaisu valittiin mukaan tutkimukseen, jos sen aiheena oli joko autojen tieto- tai elektroninen turvallisuus, tai se käsitteli nimenomaan autojen ja puhelimien tai autojen ja jonkin muun yhteysteknologian turvallisuutta.

Autot suunniteltiin alun perin suljetuiksi järjestelmiksi, mistä aiheutuu turvallisuus uhkia moderneille yhteysteknologiaa sisältäville autoille. Tutkimuksessa uhkat jaettiin kolmeen eri kategoriaan. Ensimmäinen kategoria ovat puhelimet itse. Toinen kategoria on Bluetooth-yhteys, joka on pääasiallinen yhteystapa puhelimien ja autojen välillä. Kolmas kategoria on OBD-II-portti. Puhelimista aiheutuvat riskit tulevat niiden nopeasta tuotesyklistä ja lisäksi haittaohjelmat tulisi myös huomioida. Bluetooth riskit tulevat paritukseen ja löydettävyyteen liittyvistä ongelmista. On olemassa myös useita erilaisia Bluetooth hyökkäyksiä, jotka tulisi ottaa huomioon. OBD-II-porttiin liittyvät uhkat johtuvat siitä, että portista pääsee käsiksi autojen sisäiseen verkkoon. Uhkia aiheutuu myös OBD-II-portteihin liitettävistä lähettimistä ns. dongleista, joiden turvallisuusominaisuudet voivat pahimmassa tapauksessa olla olemattomia. Koska OBD-II-portista pääsee käsiksi autojen sisäiseen verkkoon, on näiden ongelmien korjaaminen äärimmäisen tärkeää.

Kaikki nämä kolme uhkakategoriaa voi mahdollistaa sen, että hyökkääjä saa auton järjestelmät täydellisesti haltuunsa. Ne voivat myös mahdollistaa informaation keräämistä autosta tai auton eri järjestelmien kuten telematiikan hallinnoimista. Voi olla jopa mahdollista, että hyökkääjää saa haltuunsa turvallisuuden kannalta kriittisiä järjestelmiä, kuten ohjaus- ja jarrutusjärjestelmät.

Tutkimuksen päämerkitys oli koota yhteen useita tutkimuksia, jotka osoittavat miksi puhelimien yhdistäminen yhteysteknologiaa sisältäviin autoihin sisältää uhkia, ja miksi nämä uhkat tulisi ottaa vakavasti. Tutkimus osoitti myös useita lähteitä sille kuinka isoja uhkia nämä voivat olla ja kuinka paljon hyökkääjät voivat saada autoa ja sen dataa hallintaansa.