A chegada da mais recente tecnologia ao mundo automóvel veio dar aos utilizadores novas funcionalidades e novos meios de interagir com os carros.
Mas ao mesmo tempo trouxe também um conjunto de novos desafios de segurança, que se têm provado fáceis de resolver. Há mais um carro que pode ser hackeado, o Mitsubishi Outlander PHEV, e recorrendo a uma simples rede Wifi!
Um dos mais recentes modelos da Mitsubishi, o Outlander PHEV, faz uso de tecnologia para dar ao utilizador acesso a toda a informação que disponibiliza e também para que possa ser controlado remotamente.
Mas o que se sabe agora, e que foi provado pelo grupo de especialistas de segurança Pen Test Partners (PTP), é que este modelo pode ser facilmente hackeado através da rede Wifi que usa para comunicar com a aplicação móvel.
Uma rede Wifi é o ponto de entrada
A avaliação da segurança do Mitsubishi Outlander revelou que a forma de comunicação que usa, recorrendo a uma rede Wifi e não à tradicional comunicação por GSM, deixa-o exposto a um simples ataque. Em poucos dias um atacante consegue quebrar a rede Wifi, que assenta numa chave PSK fraca e que por norma está escrita num papel junto da documentação.
The Wi-Fi pre shared key is written on a piece of paper included in the owners’ manual. The format is too simple and too short. We cracked it on a 4 x GPU cracking rig at less than four days. A much faster crack could be achieved with a cloud hosted service, or by buying more GPUs.
Uma vez conseguido o acesso à rede Wifi que o Mitsubishi Outlander usa, é simples desligar o alarme, recorrendo a um simples comando. Desta forma a segurança do carro fica inutilizada e o atacante pode facilmente entrar.
Depois das portas abertas tudo pode acontecer
Tendo acesso ao carro o atacante pode realizar algumas acções para além das mais óbvias. Pode por exemplo usar a porta OBD para tentar alterar os códigos de ignição e colocar o carro em funcionamento.
“Once unlocked, there is potential for many more attacks. The on board diagnostics port is accessible once the door is unlocked. Whilst we haven’t looked in detail at this, you may recall from a hack of some BMW vehicles which suggested that the OBD port could be used to code new keys for the car.
Mesmo que não seja explorada esta vertente, há muito que pode ser feito com o controlo da aplicação. Para além de desligar o alarme, a equipa da PTP, conseguiu controlar as luzes, o processo de carregamento da bateria ou o ar condicionado.
Apesar da Mitsubishi ter já conhecimento desta falha e estar a trabalhar no sentido de a resolver, ainda não existe uma forma de garantir a segurança do Mitsubishi Outlander.
O que está a ser recomendado é que seja cancelado o registo VIN e assim desligada a rede Wifi. Ao fazer isso a aplicação de controlo deixa de poder ser usada também.