Beveiligingsonderzoekers zijn erin geslaagd om het alarm van een Mitsubishi Outlander uit te schakelen door het protocol van de mobiele app te reverse engineeren en een Alarm Off-commando te verzenden naar de auto.
Volgens PenTestPartners is de hack mogelijk, omdat Mitsubishi voor de Outlander een wifi-toegangspunt gebruikt voor de verbinding met de auto, in plaats van de veel gebruikelijkere mobiele internetverbinding. Omdat het wachtwoord bestaat uit een beperkt aantal tekens, is het vrij eenvoudig te kraken.
Via die wifi-verbinding ontvangt de auto commando's via de mobiele app van Mitsubishi. Na het kraken van het wifi-wachtwoord en het opvangen van de communicatie tussen auto en app, hebben de beveiligingsonderzoekers enkele dagen besteed aan bestudering van het protocol van commando's die de app verzendt. Toen bleek dat de auto ook commando's uitvoerde als die vanaf de computer verstuurd werden.
Daarmee is het mogelijk om lichten aan- en uit zetten, de airco in- en uit te schakelen en in te stellen of en wanneer de auto de accu oplaadt. Het worst-case-scenario is volgens PenTestPartners dat kwaadwillenden via online tools en het ssid een auto opzoeken, in de buurt zitten om het wifi-wachtwoord te kraken, het alarm uitschakelen en dan de controle over de auto overnemen.
Gebruikers van de Outlander kunnen de hack voorkomen door via de app de 'vin-registratie' uit te schakelen. Dan gaat het wifi-toegangspunt in slaapmodus en is het niet benaderbaar, waardoor de hack niet kan plaatsvinden. Met tien drukken op de knop van de afstandsbediening kunnen gebruikers het toegangspunt weer inschakelen als ze dat willen.
Mitsubishi is zich bewust van het probleem en werkt aan een fix door middel van nieuwe firmware, die het naar de auto kan pushen. Die zal vermoedelijk het wifi-wachtwoord langer maken en mogelijk de beveiliging tussen app en auto verbeteren.
Bron: Tweakers.net