Félted az adataid? Inkább ne vegyél modern autót!

2023.09.12. 14:35

A mindenki által jól ismert Firefox böngészőt is kiadó Mozilla Foundation nagy erőket fektet arra, hogy jobban megismertesse az emberekkel a különböző termékek és szolgáltatások adatbiztonsági kockázatait. A vállalat szakértői nemrég 25 autómárkát (Renault, Dacia, BMW, Subaru, Fiat, Jeep, Chrysler, Dodge, Volkswagen, Toyota, Lexus, Ford, Lincoln, Audi, Mercedes-Benz, Honda, Acura, Kia, Chevrolet, Buick, GMC, Cadillac; Hyudai, Nissan, Tesla) vizsgáltak, az eredmények alapján pedig egytől egyig mindegyik egy valódi „kiberbiztonsági rémálom."

A Mozilla Foundation szerint a modern autók valódi adathalász szörnyetegek, melyek példátlan mennyiségben férhetnek hozzá a benne utazók személyes adataihoz. Nem elég, hogy a jelenkor járművei tele vannak kamerákkal, mikrofonokkal, GPS nyomkövetővel, és a benne utazók szokásait figyelő rendszerekkel, az Apple CarPlay-hez és Android Autohoz hasonló szolgáltatásoknak hála még az okostelefonokon tárolt információk sincsenek biztonságban.

shutterstock 1933009943

Összesen négy fő kategóriában vizsgálták a 25 kiválasztott autógyártót. Az első szempont a gyűjtött adatok mennyiségére és minőségére vonatkozott, a második arra, hogy a gyártók megosztják vagy eladják-e a gyűjtött adatokat harmadik félnek, de vizsgálták azt is, hogy a felhasználók rendelkezhetnek-e a róluk gyűjtött adatok felett, illetve hogy az összegyűjtött adatokat mennyire biztonságosan tárolják. Látszólag egészen kétségbeejtő eredmények születtek, s bár a helyzet valóban nem rózsás, érdemes tenni egy lépést hátra, és átgondolni, pontosan mi mit jelent.

A gyűjtött adatok mennyisége és minősége

Az első vizsgált területen a szakértők arra voltak kíváncsiak, az autógyártók valóban csak annyi adatot gyűjtenek-e a felhasználóikról, amennyire feltétlenül szükségük van. A teszten a 25 vizsgált márka mindegyike megbukott.

A Mozilla Foundation szerint a modern infotainment rendszerek kamerákon és mikrofonokon keresztül nem csak az autóban utazókat figyelik folyamatosan, de – párosítás után – az okostelefonokon tárolt adatokhoz is hozzáférnek. A gyártók így összességében olyan információkhoz juthatnak hozzá, mint a Google Maps előzmények, legtöbbször hallgatott zeneszámok, orvosi információk, genetikai adatok, vagy a szexuális szokások. Bizony, utóbbi egyáltalán nem vicc: a Nissan és Kia modellek felhasználási feltételei között szerepel, hogy a vállalat adatokat gyűjthet az autóikban utazók nemi életéről. Persze attól még, hogy más gyártóknál ilyen leírva nem szerepel, ők is ugyan úgy monitorozhatják ezt a területet is.

Bár ijesztőnek hathat, hogy az autónk folyamatosan hallgat és figyel minket, ennek okát nem egy autógyártók közötti kémkedési összeesküvésben kell keresni. A modern autók számos extrája és szolgáltatása nem tudna működni az utasok megfigyelés nélkül. Ahhoz például, hogy hangparancsokkal utasíthassuk a járművünket a klíma bekapcsolására, muszáj hallgatnia az autóban elhangzó beszélgetéseket. A modern önvezetőrendszerek esetében pedig egyenesen kötelező a sofőr monitorozása, hogy az folyamatosan készen álljon az irányítás átvételére. Szintén nagyon kényelmes, ha a navigáció egy gombnyomással megtervezi a hazavezető útvonalat, de ehhez persze muszáj tudnia a lakcímünket is.

Az információgyűjtésre és megfigyelésre tehát sok esetben biztonsági és kényelmi funkciók miatt van szükség, kényes adatok pedig gyakran kéretlenül jutnak az autógyártók birtokába. A beszédfelismerő rendszereknél közel sem példátlan, hogyha az autó nem tudott értelmezni egy neki szóló utasítást, a hanganyagot elemzésre továbbítja a gyártónak. Itt – vagy egy megbízott külsős vállalatnál – aztán egy dolgozó meghallgatja a felvételt, és kiértékeli a hallottakat. Ha történetesen hallatszik a háttérben, ahogy az egyik utas éppen a szexuális életéről beszél, a dolgozó óhatatlanul is személyes információk birtokába jut.

A tolató és a két oldalsó kamera akcióban, a kínai piacon.
A tolató és a két oldalsó kamera akcióban, a kínai piacon.

Ezen kívül az sem feltétlenül ördögtől való dolog, hogy egy gyártó szeretne többet megtudni az ügyfélköre szokásairól. A jövő modelljeire nézve fontos tanulságokkal szolgálhat, hogy az emberek hogyan használják az autóikat, milyen funkciókhoz nyúlnak gyakran, mennyire sűrűn szállítanak utasokat, mekkora távokat tesznek meg nap mint nap, vagy mennyit állnak dugóban.

Az tehát, hogy egy cég adatokat gyűjt a felhasználóiról, önmagában még indokolt lehet – feltéve persze, ha az adatokat megfelelő körültekintés mellett tárolják és nem adják ki harmadik félnek.

Az adatok megosztása és eladása

Sajnos azonban utóbbival akad probléma bőven. A Mozilla Foundation által vizsgált gyártók 84 százaléka ugyanis megoszthatja az általuk összegyűjtött adatokat valamilyen harmadik féllel, sőt, 76 százalékuk akár pénzért el is adhatja azokat.

Ezzel több probléma is akad. Azt természetesen minden autógyártónak kötelező a vásárlói számára elérhetővé tennie, hogy milyen adatokat gyűjthet és ezeket hogyan használhatja fel. A Mozilla szakértői szerint azonban a terjedelmes jogi szövegek útvesztőjében még számukra is elvesznek a konkrétumok. Az egész ráadásul akkor válik igazán problémássá, ha az összegyűjtött információkat a gyártó eladja egy harmadik félnek, hiszen hogy utóbbi mihez kezd az adatcsomaggal, szinte követhetetlen.

A Mozilla Foundation külön kiemeli, hogy mindez komoly kockázatot jelent, és valós károkat okozhat a felhasználók számára.

All-New Nissan Qashqai - Infotainment 8-source

Fogyasztói kontroll az összegyűjtött adatok fölött

Bár az európai GDPR törvény szerint a felhasználóknak biztosítani kell a jogot, hogy rendelkezhessenek saját adataik fölött, ez a világ más részein nincs így. Így lehet, hogy a 25 vizsgált autómárka közül csupán kettő (Dacia és Renault) esetében kérhetik a tulajdonosok a róluk tárolt adatok törlését.

Bár más gyártóknál is mutatkozik lehetőség hasonlóra, a magánszférájukat féltő felhasználóknak ezért komoly árat kell fizetnie. A Teslánál bár létezik olyan opció, hogy a tulajdonos kérésére megszüntetik az adatátvitelt a céges szerverek és az autó között, ám ez az extrák és funkciók egy részét – például a szoftverfrissítéseket, navigációt, hangparancsokat, és a beépített böngészőt – használhatatlanná teszi, hiszen ezek működéséhez elengedhetetlen a gyári kapcsolat. Ez még érthető is lenne, csakhogy a Tesla idevonatkozó bekezdése így zárul: „[az adatgyűjtés kikapcsolása] a jármű funkcióinak beszűkülését, komoly károkat, vagy akár az autó mozgásképtelenné válását is okozhatja." Valós opcióról tehát nehéz beszélni.

Adatbiztonság

Szintén aggasztó, hogy a Mozilla Foundation szakemberei egyik vizsgált autógyártónál sem találtak egyértelmű bizonyítékot arra, hogy a begyűjtött adatokat megfelelő titkosítás mellett, biztonságos körülmények között tárolják. Bár a vállalatok mindegyikének akadnak hosszadalmas adatvédelmi szabályzatai (a Toyotának például 12 is), ezek valamiért nem foglalkoznak ezzel az igen kardinális kérdéssel. A szakemberek így további információk reményében az összes vállalatot külön is megkeresték, ám válasz csupán háromtól (Mercedes-Benz, Honda, Ford) érkezett, ráadásul ezek sem voltak kellően kielégítőek.

Mindez azért jelent aggodalmat, mert semmi sem garantálja a felhasználók adatainak biztonságát egy esetleges hackertámadás vagy belsős szivárogtatás esetén. A Mozilla szerint ez remekül magyarázza, hogy az elmúlt három évben miért történt a 25 vizsgált autómárka közül a Renault, Dacia, BMW, Subaru, Fiat, Jeep, Chrysler és Dodge kivételével mindegyiknél adatszivárgás vagy adatlopás.

gl infotainment-mg-marvel-001 0

Konklúzió

Bár az összkép elég negatív, a háttérben valószínűleg nem rosszindulat, sokkal inkább felkészületlenség áll. Az autók informatikai rendszerei döbbenetes változásokon estek át az elmúlt 10 évben, olyannyira, hogy az autógyártókat már teljes joggal emlegethetjük a techcégek között. A probléma, hogy ez az iparág eddig nem erre volt berendezkedve: ezért is esik a gyártók nehezére megoldani olyan, más szektorokban fennakadás nélkül működő szolgáltatásokat, mint a felhőalapú szoftverfrissítések, vagy az átlátható és gördülékeny infotainment szoftver.

Ez persze nem menti fel az autógyártókat a felelősség alól, változásokra pedig egyértelműen szükség van. Ez különösen annak tükrében igaz, hogy három vállalatot kivéve (Tesla, Renault, Dacia) mindegyikük aláírta az Alliance for Automotive Innovation kereskedelmi szövetség és lobbicsoport adatbiztonsággal kapcsolatos felhívását, mely átláthatóságra, minimális adatgyűjtésre, és nagyobb biztonságra szólítja fel az autóipar szereplőit amellett, hogy nagyobb kontrollt adna a felhasználók kezébe. Persze a Mozilla Foundation szakemberei szerint úgy tűnik, egyik gyártó sem tartja magát a vállaltakhoz.