Batteriteknologi, betalingsløsninger og nettverkstilkoblinger har sammen gjort det mulig å radikalt endre hvordan vi reiser rundt i byer. Men har dette vokst frem for fort? Er det noen som har rukket å tenke igjennom alle scenarioene som den nye el-sparkesykkelteknologien fører med seg?
Hvis du skal bruke en elsparkesykkel må du låse den opp med en smarttelefon. Du må laste ned appen av samme merke, fylle inn betalingsinformasjon, skanne QR-koden som står på sparkesykkelen og så kan du kjøre av gårde. Når mobilen din skal låse opp sykkelen er den avhengig av dekning, fordi prosessen for godkjennelse av betaling skjer over internett.
Noen ganger ber også appen deg om å bruke Bluetooth, som en ekstra måte for smarttelefonen din å koble seg til sparkesykkelen på. Dersom du blir bedt om å bruke Bluetooth, bruker sparkesykkelen mest sannsynlig en versjon som kalles for Bluetooth Low Energy (BLE).
Det viser seg at BLE er sårbart for en rekke skumle scenarioer, hvor de mest alvorlige er at noen andre kan få kontroll over sparkesykkelen din mens du kjører. Da kan de i verste fall låse sykkelen din i fart, eller plutselig skru opp hastigheten.
Andre scenarioer går ut på at noen kan lese informasjonen som går mellom din mobil og sparkesykkelen. Med den informasjonen kan man utføre et mellommannsangrep («Man-in-the-Middle attack»), eller de kan se hvor og når du har kjørt. Dette gjør det mulig å lese informasjon og for eksempel finne ut av hvor du bor og jobber, basert på hvilke ruter du vanligvis tar.
Dersom en skurk kan legge inn sin egen kode i sparkesykkelen via BLE, er det også mulig å legge inn programmer som svindler brukeren.
Angrepet hvor noen kobler seg til BLE for å kontrollere sykkelen din i fart har allerede blitt demonstrert. Forskere fra bedriften Zimperium viste nettopp dette da de i 2019 slapp en rapport og video av at de kunne låse en hvilken som helst elsparkesykkel av merket Xiaomi M365. De utnyttet en svakhet som lot angriperen slå på en anti-tyveri lås ved å bruke Bluetooth. Denne låsen var det mulig å slå på mens sparkesykkelen var i fart.
Xiaomi er en kinesisk fabrikant som produserer elektronikk. De har levert mange elsparkesykler til USA og Europa, og noen av de mest kjente el-sparkesykkelmerkene som Bird og Lime brukte Xiaomi da de startet opp. Et kjapt søk på prisjakt.no viser at det selges flere modeller av Xiaomi elsparkesykler, og baserer man seg på anmeldelser, kan man se at disse er ganske populære blant den norske befolkningen.
Det samme gjelder Ninebot av Segway.
Det er bevist at man kan hacke modeller fra begge, noe som ikke gir oss brukere mye trygghet.
Men hva med de selskapene som setter sparkesyklene sine ut i Oslos gater?
Hvorvidt noen av disse er Xiaomi eller Ninebot er vi dessverre ikke helt sikre på, men om noen av dem bruker Bluetooth for å koble til, var lett å sjekke. Etter å ha lastet ned de appene som vi vet er brukt i Norge – Voi, Tier, Lime, Bird, Bolt, Wind, Ryde og Zvipp – har vi funnet ut av fire av disse vil benytte seg av din Bluetooth-tilkobling.
Hverken Voi, Tier eller Bolt krever at du slår på Bluetooth for å låse opp sparkesykkelen. Vi har likevel oppdaget at det for eksempel fremdeles er mulig til å koble seg til en valgfri Voi sparkesykkel ved hjelp av en enkel Bluetooth-app på mobilen, ettersom hver sparkesykkel har en åpen Bluetooth-tilkobling.
Hva betyr det?
Jo, det betyr at teoretisk sett kan noen fremdeles koble seg på og styre sykkelen din, til tross for at du selv ikke trenger den tilkoblingen for å starte opp sykkelen.
De fleste debattene for tiden handler naturlig nok om hvordan man kan gjøre sparkesyklene sikrere, slik at både sjåføren og de rundt unngår å havne i ulykker. Det er absolutt nødvendige debatter, men det mangler en debatt om hvor sikre sparkesyklene er mot digital sabotasje.
Det viser seg nemlig at det å ha på hjelm ikke betyr at du er beskyttet mot alle farene som kan inntreffe.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.