Trh s chytrými telefony, hodinkami, brýlemi a v neposlední řadě i automobily se rozvíjí neskutečně rychle. Možná dokonce rychleji, než by měl. Automobilky se začaly předhánět, kdo přijde na svět s lepší aplikací na mobil, pomocí které můžete svůj vůz zamknout, rozsvítit světla nebo například nastavit nabíjení. Svojí appku již mají téměř všechny velké automobilky včetně BMW, Mercedesu a Audi, ale třeba i Nissanu. Skvělou vychytávku si nově můžete dopřát i v Mitsubishi Outlander PHEV. Ve snaze dohnat své konkurenty však u Tří diamantů vznikla velká bezpečnostní mezera.
Většina automobilek řeší komunikaci pomocí serveru, ze kterého automobil obdrží data pomocí modulu GSM. Pak stačí dobře zabezpečit server a máte vyhráno, jedinou nevýhodou je, že je systém pomalejší. Možná právě kvůli tomu zvolili v Mitsubishi aplikaci komunikující s automobilem přímo, pomocí klasické Wi-Fi sítě. Při užívání Wi-Fi odpadá nutnost serveru, přes který by vůz komunikoval, což znamená, že nepotřebujete v autě GSM modul. Systém je rychlejší, ale vůz můžete ovládat pouze na dosah Wi-Fi signálu. Jestli máte například garáž mimo dům, může se to jevit jako problém. Přímá komunikace je navíc mnohem náročnější na zabezpečení.
Společnost Pen Test Partners zabývající se penetračním testováním softwaru strávila nějaký čas po boku vozu Mitsubishi Outlander a přišla s alarmujícími výsledky. Problém je hned u přihlašování do aplikace. Při volbě hesla jsou potřeba pouze 4 písmena a 6 čísel. Takovou kombinaci lze prolomit v rozmezí od jednoho do čtyř dnů. Komunikace mezi vozem a mobilní aplikací probíhala pomocí jednoduchého přímočarého protokolu, dalším problémem byla statická IP adresa 192.168.8.46:8080. Po zjištění těchto slabých míst byli hackeři schopni ovládat světla i harmonogram nabíjení.
Postupem času se testerům dokonce podařilo dálkově vypnout alarm. Mitsubishi vzalo celou věc velmi vážně a promýšlí dodatečné zakomponování GSM modulu, což sice bude stát peníze navíc, nikdo se ale nebude muset bát systém používat. Firma Pen Test Partners zatím doporučuje jít do menu aplikace a zvolit "vymazat VIN registraci" – automobil se přepne do režimu, ve kterém nepřijímá žádné signály, a nechtěné vypnutí alarmu tedy nehrozí.
Zdroj: pentestpartners.com
