Proponha uma correção, faça uma sugestão
Alerta: Mitsubishi Outlander PHEV está vulnerável a hackers
A chegada da mais recente tecnologia ao mundo automóvel veio dar aos utilizadores novas funcionalidades e novos meios de interagir com os carros.
Mas ao mesmo tempo trouxe também um conjunto de novos desafios de segurança, que se têm provado fáceis de resolver. Há mais um carro que pode ser hackeado, o Mitsubishi Outlander PHEV, e recorrendo a uma simples rede Wifi!
Um dos mais recentes modelos da Mitsubishi, o Outlander PHEV, faz uso de tecnologia para dar ao utilizador acesso a toda a informação que disponibiliza e também para que possa ser controlado remotamente.
Mas o que se sabe agora, e que foi provado pelo grupo de especialistas de segurança Pen Test Partners (PTP), é que este modelo pode ser facilmente hackeado através da rede Wifi que usa para comunicar com a aplicação móvel.
Uma rede Wifi é o ponto de entrada
A avaliação da segurança do Mitsubishi Outlander revelou que a forma de comunicação que usa, recorrendo a uma rede Wifi e não à tradicional comunicação por GSM, deixa-o exposto a um simples ataque. Em poucos dias um atacante consegue quebrar a rede Wifi, que assenta numa chave PSK fraca e que por norma está escrita num papel junto da documentação.
The Wi-Fi pre shared key is written on a piece of paper included in the owners’ manual. The format is too simple and too short. We cracked it on a 4 x GPU cracking rig at less than four days. A much faster crack could be achieved with a cloud hosted service, or by buying more GPUs.
Uma vez conseguido o acesso à rede Wifi que o Mitsubishi Outlander usa, é simples desligar o alarme, recorrendo a um simples comando. Desta forma a segurança do carro fica inutilizada e o atacante pode facilmente entrar.
Depois das portas abertas tudo pode acontecer
Tendo acesso ao carro o atacante pode realizar algumas acções para além das mais óbvias. Pode por exemplo usar a porta OBD para tentar alterar os códigos de ignição e colocar o carro em funcionamento.
“Once unlocked, there is potential for many more attacks. The on board diagnostics port is accessible once the door is unlocked. Whilst we haven’t looked in detail at this, you may recall from a hack of some BMW vehicles which suggested that the OBD port could be used to code new keys for the car.
Mesmo que não seja explorada esta vertente, há muito que pode ser feito com o controlo da aplicação. Para além de desligar o alarme, a equipa da PTP, conseguiu controlar as luzes, o processo de carregamento da bateria ou o ar condicionado.
Apesar da Mitsubishi ter já conhecimento desta falha e estar a trabalhar no sentido de a resolver, ainda não existe uma forma de garantir a segurança do Mitsubishi Outlander.
O que está a ser recomendado é que seja cancelado o registo VIN e assim desligada a rede Wifi. Ao fazer isso a aplicação de controlo deixa de poder ser usada também.
Este artigo tem mais de um ano
Loading ...
Eu acho que bastaria mudar a senha do WiFi, que não deve ser usada como uma “password” e sim como uma “passphrase”. Se o software não permitir a mudança, então aí sim, teríamos uma falha. Também será uma falha se o manual não alertar o dono do carro que deve alterar a senha.
Já vi várias operadoras de internet fixa, aqui no Brasil, colocando senhas de WiFi só com números de 8 dígitos. Não posso falar por todo mundo e não tenho estatísticas, mas eu creio que a maioria dos contratantes não deve alterar tal senha. Então se alguém quer realmente invadir a rede WiFi do vizinho, terá todo tempo do mundo para ficar tentando adivinhar a senha e poderá atalhar esse tempo se inventar de visitar o vizinho e der uma olhada no roteador WiFi, pois normalmente haverá uma etiqueta com o nome da rede WiFi e a senha, podendo ter como bônus o usuário e senha para se entrar no roteador como administrador.
Esse caso é só para exemplificar como é comum esses casos de senha default, e com coincidências, como ter a senha escrita em algum lugar, no caso um etiqueta e não no manual.
Poderia ser pior, poderia ser a mesma senha e configuração para todo mundo, mas eles mudam para cada usuário, espero eu. Então tornaria melhor a segurança se houvesse um trabalho ativo de fazer o usuário mudar a senha default, mas creio que isso geraria tantos chamados por conta de senhas esquecidas que as operadoras deixam do jeito que está. Quanto ao carro é a mesma coisa, o dono deve ter em mente que deve alterar a senha, incluindo a SSID do WiFi.