Kínai elektromos buszok kiberkockázatai
Az ausztrál kormány vizsgálja, hogy a kínai gyártmányú elektromos buszok jelentenek-e nemzetbiztonsági kockázatot. 2023 óta Ausztrália lassan kezdett befektetni az elektromos meghajtású tömegközlekedési buszokba. A beszerzett buszok kizárólagos forgalmazója, a Vehicle Dealers International (VDI) nevű kis ausztrál vállalat szerint jelenleg 133 elektromos városi busz és 12 elektromos charter- vagy autóbusz van az országban. Mindegyiket a kínai Zhengzhouban székhellyel rendelkező Yutong Bus gyártja.
Ausztrália átállása a Yutongra nem ment vita nélkül. Tavaly a kormány kénytelen volt kivizsgálni, hogy a Yutong buszok akkumulátorai ujgur rabszolgák által gyártott alkatrészekből készültek-e. Most a canberrai tömegközlekedési hatóság azt vizsgálja, hogy a buszok jelenthetnek-e kockázatot a nemzetbiztonságra. Bár ezt a Transport Canberra nem mondja ki nyíltan, de a fő aggodalom az, hogy ezek a buszok rendelkeznek-e „kill switch”-el, amelyet a kínai kormány lényegében bármikor aktiválhat.
Kutatók megosztottak egy jelentést a Dark Readinggel, amiben feltárták, hogy ezek a buszok valóban komoly kiberbiztonsági kockázatokat hordoznak. Tavaly a norvégiai Oslo tömegközlekedési hatósága, a Ruter kutatói két elektromos buszt vezettek be egy hegy belsejében található, már nem használt bányába. Az egyik egy 2021-es holland modell volt, a másik pedig egy Yutong. Céljuk az volt, hogy szétszedjék az országban közlekedő buszokat, és felmérjék azok potenciális kockázatait, anélkül, hogy bármilyen jamming zavarná őket. A Yutong modellt normál üzemi körülmények között is tesztelték.
Ősszel a Ruter magas szintű áttekintést adott ki eredményeiről. Többek között részletezték, hogy mivel a Yutong vezeték nélküli (OTA) kapcsolatot tart fenn buszaival, elméletileg saját belátása szerint leállíthatja őket. A Ruter jelentette az eredményeket a nemzeti és helyi hatóságoknak, és szigorúbb követelményeket javasolt a külföldről beszerzett buszok biztonságával kapcsolatban.
Úgy tűnik, hogy ez a kutatás dominoeffektust váltott ki. A dán kormány vizsgálatot indított a saját Yutong buszaira vonatkozóan, majd az Egyesült Királyság kormánya is hasonló lépéseket tett, és most Ausztrália is csatlakozott hozzájuk.
A kutatók megállapították, hogy a Yutong vezérlőrendszere közvetlenül kapcsolódik az internethez, lehetővé téve a gyártó számára a jármű többi alkatrészén kívül a vezetési rendszereket vezérlő Controller Area Network (CAN) buszhoz való távoli hozzáférést. A CAN technológia nem rendelkezik hitelesítéssel és titkosítással, így a gyártó kapcsolatán kívül a járművek kitettek a kibertámadásokkal szemben.
A Ruter azt is megállapította, hogy a Yutong energiaellátása és akkumulátora mobilhálózaton keresztül is elérhető. Megállapították továbbá, hogy a Yutong szoftverfrissítési platformja korábban sérülékenységeket tartalmazott, bár azokat azóta kijavították.
A VDI szóvivője az ausztrál újságíróknak elmondta, hogy bár a Yutong járművek lehetővé teszik az OTA frissítéseket, a VDI gyakorlata szerint a járművek szoftverfrissítéseit fizikailag, az ügyfél beleegyezésével, a hivatalos szervizközpontokban végzik, nem pedig távolról. A Transport Canberra képviselője január 20-án az Australian Broadcasting Corporation (ABC) számára elmondta, hogy Ausztráliában a buszok egyáltalán nem teszik lehetővé az OTA frissítéseket.
Ez azonban nem jelenti azt, hogy a gyártó egyáltalán nem rendelkezik élő kapcsolattal az Ausztráliában használt buszokhoz. Az aggodalmak további enyhítése érdekében a Yutong szóvivője tájékoztatta az ABC-t, hogy lehetőség van az összes telematikai funkció letiltására a csatlakoztatott eszköz áramellátásának kikapcsolásával vagy a SIM-kártya eltávolításával, ami nem befolyásolja a buszok működését.
