Mitsubishi Outlander: машина - мечта угонщика

Mitsubishi рекомендует пользователям отключить Wi-Fi, пока компания исследует проблемы с системой сигнализации на автомобиле Mitsubishi Outlander.

Помогая угонщикам

Эксперт по вопросам безопасности Кен Мунро сказал, что расследование началось, когда он ждал своих детей, чтобы забрать их из школы и заметил необычную точку доступа Wi-Fi, всплывавшую в списке на своем смартфоне.

Он понял, что это было на соседнем Mitsubishi Outlander, который принадлежал его другу. Впоследствии хозяин авто показал ему связанное приложение и как оно может быть использовано для управления некоторыми аспектами транспортного средства.

"Я начал играть с ним, и вскоре понял, что система уязвима, поэтому я остановился," - сказал он.

Г-н Мунро купил Outlander и принялся исследовать то, как владелец автомобиля общается со своим транспортным средством через приложение.

Многие другие производители автомобилей используют веб-сервис, который поддерживает приложения для подключенных автомобилей так, что владельцы могут блокировать их дистанционно или иным образом управлять ими. Как правило, команды, посылаемые машине, проходят через серверы перед тем, как посылаются автомобилю через мобильную сеть.

В отличие от всех Mitsubishi решили позволить приложениям разговаривать с автомобилями только с помощью бортового Wi-Fi. "К сожалению, - говорит г-н Мунро, - были серьезные недостатки в создании самого Wi-Fi. Начнем с того, что формат имени точки доступа на автомобиле очень отличается. Это привело к тому, что многие гибриды Mitsubishi были зарегистрированы на веб-сайтах, которые собирают имена точек доступа. Некоторые из них были замечены во время езды, а другие, когда стояли у дома своего владельца, - написал г он в блоге, излагая свои выводы. - Вор или хакер может легко найти автомобиль, который представляет для них интерес".

Краткосрочные исправления

Хотя г-н Мунро владел транспортным средством, он и его коллеги из фирмы Pen Test Partners проводят свое расследование, как будто они не имеют никакого специального доступа. Это связано с использованием хорошо известных методов, которые позволяют исследователям расположиться между автомобилем и владельцем и просматривать данные, которыми они обмениваются.

Команда использовала этот доступ, чтобы переигрывать команды, посылаемые на Outlander, позволяющие мигать светом, настроить параметры зарядки и разряжать батарею.

Г-н Мунро сказал, что он был "шокирован", когда узнал, что он также может отключить сигнализацию автомобиля с помощью этой атаки.

"Вор, который уверен, что сигнализация не даст ему много времени, чтобы использовать другие методы, может разблокировать автомобиль и получить доступ", - сказал он.

История взлома

Mitsubishi Outlander является последним в серии автомобилей, которые считаются ненадежными, когда речь заходит о безопасности.

В 2014 году Jeep Cherokee от Chrysler, Tesla Model S и Nissan Leaf продемонстрировали свою уязвимость для взлома разной степени тяжести.

Самым поразительным был взлом джипа, который позволил ученым получить контроль над транспортным средством в удаленном режиме. Открытие привело к тому, что 1,4 млн автомобилей отозвали для обновления программного обеспечения.

Эксперты по безопасности опасаются, что чем больше автомобилей получают возможность подключаться к мобильному телефону и к интернету, тем больше прорех в безопасности будет найдено.

Но автопроизводители всегда играют в догонялки, когда речь заходит о безопасности, поскольку разработка транспортного средства занимает гораздо больше времени, чем поиск, выявление и корректировка недостатков в бортовых компьютерных системах.

"После того, как компьютер разблокирован, появляется возможность для угона, - сказал он. - Бортовая диагностика доступна как только дверь разблокирована."

Доступ к порту диагностики может позволить преступникам подключить настроенное оборудование, которое позволит им завести машину, считает г-н Мунро.

Демонстрация проблем с бортовым Wi-Fi был осуществлена для Mitsubishi в Великобритании 3 июня, где ошибки по-прежнему остаются даже в последней версии приложения.

Г-н Мунро сказал, что он был впечатлен сотрудничеством и получил от Mitsubishi заказ на изучение ошибок и поиск путей их устранения.

В своем заявлении Mitsubishi сообщают: "Хакерство является первой проблемой для нас, как ни странно больше нигде в мире таких вопросов не возникало."

Компания отнеслась " к этому вопросу серьезно" и была заинтересована в том, чтобы г-н Мунро пообщался с инженерами в Японии, что привело бы к пониманию ошибки и поиску путей ее исправления.

Компания также добавила, что, хотя ошибки были "явно тревожными", хак затронул только одно приложение автомобиля, что дает злоумышленнику ограниченный доступ к системам автомобиля.

"Следует отметить, что без устройства дистанционного управления, автомобиль не может быть запущен и угнан," - сказал он.

Во время исследования он рекомендовал владельцам отключить на их борту Wi-Fi с помощью опции "Отмена VIN регистрации" или с помощью процедуры удаленной отмены приложения.

"Долгосрочное исправление потребует какого-либо действия от Mitsubishi", - сказал г-н Мунро.

"Новая прошивка должна быть развернута в срочном порядке, чтобы решить эту проблему должным образом, поэтому мобильное приложение все еще не может быть использовано", - сказал он.