Micro-mobility companies have in recent years introduced electric vehicles such as bikes, scooters and mopeds as a sustainable alternative to traditional combustion engine cars in inner cities. Having electric vehicles available in the cities comes with corporate responsibilities, such as making sure the electric vehicles follow national laws regarding speed and parking. Furthermore, a prerequisite for offering the service is that the electric vehicles should be connected at all times, and that the company has means to make certain that the service is used only by authorized users. This functionality is provided by having an IoT device mounted on the electric vehicle. One problem that arises is that it introduces new attack vectors that put both the company and its users at risk. White hat hackers working together with corporations is the right way to find vulnerabilities. This thesis evaluates the Company’s offered service through the method of threat modeling, by answering the question "Is the Company’s system secure against cyber attacks?". This has been made possible through an active collaboration with the Company, which have prioritized resolving vulnerabilities that have arisen during the project. The results show that there are security flaws present in the current system, hence making room for security improvements. Critical vulnerabilities discovered include adversaries being able to use the offered service for free, hijacking the vehicle, and the Company relying on ’front-end’ security in one payment context. / Mikromobilitetsföretag har de senaste åren introducerat elfordon som cyklar, skotrar och mopeder som ett hållbart alternativ till traditionella fossildrivna bilar i innerstäderna. Att ha elfordon tillgängliga i städerna kommer med företagsansvar, som att se till att elfordonen följer nationella lagar om hastighet och parkering. En förutsättning för att erbjuda tjänsten är vidare att elfordonen alltid ska vara uppkopplade och att företaget har möjligheter att försäkra sig om att tjänsten endast används av behöriga användare. Denna funktionalitet tillhandahålls genom att ha en IoT-enhet monterad på elfordonet. Ett problem som uppstår är att den introducerar nya attackvektorer som utsätter både företaget och dess användare för risker. White hat-hackare som arbetar tillsammans med företag är det rätta sättet att hitta sårbarheter. Denna avhandling utvärderar företagets erbjudna tjänst genom metoden för hotmodellering, genom att svara på frågan "Är företagets system säkert mot cyberattacker?". Detta har möjliggjorts genom ett aktivt samarbete med Företaget, som har prioriterat att lösa sårbarheter som uppstått under projektets gång. Resultaten visar att det finns säkerhetsbrister i det nuvarande systemet, vilket ger utrymme för säkerhetsförbättringar. Kritiska sårbarheter som upptäckts inkluderar att motståndare kan använda den erbjudna tjänsten gratis, kapa fordonet och att företaget förlitar sig på front-end-säkerhet i ett betalningssammanhang.
Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-320287 |
Date | January 2022 |
Creators | Amin, Yosef, Roland Pappila, Bength |
Publisher | KTH, Skolan för elektroteknik och datavetenskap (EECS) |
Source Sets | DiVA Archive at Upsalla University |
Language | English |
Detected Language | Swedish |
Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
Format | application/pdf |
Rights | info:eu-repo/semantics/openAccess |
Relation | TRITA-EECS-EX ; 2022:413 |
Page generated in 0.003 seconds