Po sérii viacerých odhalených bezpečnostných chýb v moderných vozidlách ponúkajúcich prepojenie s mobilnými aplikáciami z minulého roka boli aktuálne zverejnené informácie o bezpečnostnom probléme ďalšieho vozidla, hybridného prevedenia SUV Mitsubishi Outlander, Outlander PHEV.
Problém objavila a informovala o ňom spoločnosť Pen Test Partners.
Veľká časť moderných osobných vozidiel ponúka možnosť ovládať niektoré funkcie a nastavenia respektíve zisťovať informácie o vozidle cez mobilnú aplikáciu.
Štandardným spôsobom ako ponúkať túto funkčnosť je zabudovať do auta pripojenie na mobilnú sieť, pričom auto je prepojené so servermi spoločnosti a mobilná aplikácia sa tiež pripája na tieto servery. Mitsubishi používa iný spôsob, keď v Outlander PHEV je WiFi prístupový bod a aplikácia sa musí pripojiť na tento prístupový bod. Smartfón tak musí byť v dosahu vozidla.
Implementácia zároveň ale nemá dostatočnú bezpečnosť. K prístupu k tejto WiFi je potrebné heslo, ktoré má každý majiteľ uvedené na kartičke založenej v manuáli. Heslá podľa Pen Test Partners ale nemajú dostatočnú silu a z odchytenej komunikácie pripájajúceho sa zariadenia na WiFi AP je možné útokom hrubou silou získať heslo. Podľa Pen Test Partners spoločnosť heslo zistila po menej ako štyroch dňoch výpočtov na stroji so štyrmi GPU, pričom pomocou prístupu k vyššiemu výkonu je výpočet možné urýchliť.
Ilustračné foto, Mitsubishi Outlander PHEV, kliknite pre zväčšenie (foto: Mitsubishi)
Experti následne analyzovali komunikáciu mobilnej aplikácie a systémov auta a našli spôsob ako pomocou prístupu získaného po získaní hesla zapnúť a vypnúť svetlá, zapnúť alebo vypnúť klimatizáciu a kúrenie, zmeniť režim nabíjania a tak nechať napríklad auto nabíjať na drahšom prúde alebo vybiť jeho batériu.
Najvážnejšou akciou, ktorú sa im podarilo dosiahnuť, je deaktivovať alarm proti zlodejom. Deaktivovanie neodomkne auto, zlodejom ale umožní sa dostať do neho klasickými spôsobmi bez spustenia alarmu.
Podľa informácií automobilky pre BBC sa auto bez diaľkového ovládania nedá naštartovať. Experti ale upozorňujú, že vlámaním sa do auta získa útočník prístup k diagnostickému portu. Ďalej chcú analyzovať aj či je WiFi funkčnosť prepojená až so zbernicou CAN a ostatnými systémami vozidla.
Video popisujúce zraniteľnosť (video: Pen Test Partners)
Heslo pre WiFi nie je možné zmeniť, Pen Test Partners tak zatiaľ odporúča prestať WiFi a mobilné aplikácie používať a deaktivovať všetky spárované mobilné aplikácie. Mitsubishi podľa expertov najskôr neprejavila o problém po jeho nahlásení dostatočný záujem, po tom ako experti zapojili do komunikácie médiá, začala prípad promptne riešiť. V súčasnosti podľa nich spoločnosť pripravuje riešenie zahŕňajúce upgrade WiFi firmvéru v aute zvyšujúci bezpečnosť, ktorý bude možné zrealizovať z mobilnej aplikácie.
Bezpečnostné problémy v autách respektíve mobilných aplikáciách pre tieto autá začali byť intenzívnejšie zverejňovanú v minulom roku, kedy boli zverejnené informácie o menej alebo viac vážnych problémoch v autách a aplikáciách od BMW, Fiat Chrysler, GM, Nissan a problémy s nedostatočne bezpečnými štandardnými nastaveniami WiFi mala aj Škoda. Na problém s hacknuteľnosťou áut verejne teraz na jar upozornila aj FBI, ktorá odporúča zvážiť koho do auta pustíte.
minimalne 8 nasobne? co tak 10 alebo lepsie 42? kto da viac?
alebo by mozno stacilo zlepsit timemanagement pri nabijani, kedze to potrebujes do bateriek, ze?
Ty si tiez zadrel. A lode, lietadla, kamiony, dodavky, xy firemnych aut co chodi tisice km tyzdenne? Plus chemicky priemysel, asflat atd?
Mal by si pravdu keby vsetka spracovana ropa sluzila len na pohon mestskych prditiek co najazdia rocne tak 15000 km.
kamiony budu jazdit tiez na elektrinu, po 500km sa naklad bude elektrickym vozikom prekladat do druheho kamionu a lode budu plavat na slnecnu energiu, pricom z ciny do nemecka sa lod doplavi za 2 a pol mesiaca. Lietadla sa postupne vyradia a bude sa lietat balonmi a vzducholodami... to nas ale caka eko era... boa lepsie fantasy ako GoT
Akurat ze GPU maju, podobne ako tlaciarne ci fotaky, vstavany vodoznak a podla hashu ich je na serveroch mozne presne identifikovat hned pri pokuse o pripojenie i v pripade, ze si majitelia niekolko dni nevsimaju za autom pripojeny prives s elektrocentralou a expertami.
Mozno by stalo za to skusit porozumiet citanemu textu...
Ziadna elektrocentrala - nahrali si komunikaciu pripajania auta k mobilu, odcupitali a pustili analyzu. Ked mali za 4 dni heslo, vratili sa.
Urcite to je WPA2 tma ma minimum 8 znakov staci heslo zmenit na 10 a pridat dake nahodne znaky a nemaju sancu. Alebo nehc rovno daju 63 miestne a to nech hacknu
uikradnem to tvoje 63 miestne heslo zo sparovaneho zariadenia a je vymalovane.
Sorry ale nechapem vyrobcov, ze do takehoto idu, prakticky prinos je minimalny ale riziko zneuzitia vysoke. Porgramovat bez chyb/slabychmiest nejde, takze vzdy sa najde nejaky sposob.
Nechapem Mitsubishi, ze tak zavaznu vec ako vypnutie alarmu umoznuje vypnut cez aplikaciu.
Ak uz by som isiel do aplikacie, tak by som tam dal na zaciatok len uplne zakladne veci ako vychladenie/vykurenie na urcitu teplotu(v len povolenom rozsahu samozrejme) a podobne veci.
Re: WPA/WPA2
Od reg.: Wolverine
|
Pridané:
7.6.2016 13:49
lebo uz nevedia co napchat do aut aby navnadili ludi, vies ako teraz je cool mat vsade wifi (btw moze normalny clovek ist do krcmy kvoli wifine? :D) ,tak sa necudujme ze tam pchaju somariny
Re: WPA/WPA2
Od reg.: pocitujlasku
|
Pridané:
7.6.2016 14:40
hadam si nemyslis, ze do krcmy sa chodi, lebo je tam pivo a mozes si tam pokecat s kamosmi.
btw: take objednanie piva cez wifi ma tiez svoje caro, hlavne, ak je to vo velkom kancli a prinesie ti ho Janka Hospodarova.
Re: WPA/WPA2
Od: Okres linux
|
Pridané:
7.6.2016 15:22
A kto, ty mysliteľ, chodí do krčmy kvôli wifine? Rád mlátiš slamených panákov? To neznamená, že pre niekoho nemôže byť plus, keď už tam je, že tam tá wi-fi je. Aj keď v dnešnej dobe lacných mobilných dát je to už na pováženie.
Taky hack ktory vypina alarm ma velmi nezaujima. Ale ak bude hotovy taky, co preparkuje Outlander napriklad z Rakuska az rovno ku mne pred dom, tak to by nebolo od veci. Ups zabudol som, asi by mu dosli baterky.
Dzeremi toho uz nahovoril.. predsa je to uz pan v rokoch s patricnymi narokmi takze ja by som taketo hodnotenia od neh o uz bral s rezervou. A este tu je samozrejme preferencny f*ktor :o)
na margo 'haj-tek' elektroniky v plechovke - naco?
neprihlásený 
