Het feit dat auto’s onder de motorkap steeds meer op een computer gaan lijken, brengt grote beveiligingsrisico’s met zich mee. Het meest treffende voorbeeld daarvan zagen we een jaar geleden met de Jeep Cherokee. Hackers bleken de auto zo goed als volledig te kunnen overnemen. Op afstand. Maar dit is slechts het meest extreme voorbeeld, want we hebben sindsdien nog veel auto’s met beveiligingsproblemen gezien. De nieuwe op deze groeiende lijst: de plugin-hybride versie van de Mitsubishi Outlander.
Beveiligingsonderzoek Ken Munro zag dat de bijbehorende app via een wifi-verbinding contact zoekt met de auto en zag daarin de zwakke plek. Hij hackte deze verbinding en kreeg daarmee controle over alle zaken die je met de app kunt bedienen. Denk daarbij aan het uitschakelen van het alarmsysteem of het aan- en uitzetten van de verlichting.
Wifi
In een uitgebreide blogpost legt Munro uit dat de meeste auto’s een mobiele data-verbinding in de auto en een externe dienst in de cloud gebruiken om de verbinding tussen de app en de auto. Waarschijnlijk heeft Mitsubishi voor de wifi-verbinding gekozen omdat dat goedkoper is. De auto heeft immers geen mobiele verbinding nodig is. Maar het is dus ook een stuk risicovoller.
Met een krachtige computer en een beetje geduld (één tot een paar dagen) is de beveiliging van de wifi-verbinding namelijk te kraken. Daarnaast kon Munro de locaties achterhalen van de auto’s, omdat de namen van de wifi-netwerken allemaal dezelfde opbouw hebben en dus makkelijk op te zoeken zijn.
Oplossing
De onderzoeker raadt bezitters van de een plugin-hybride Mitsubishi Outlander aan om alle gekoppelde apparaten los te koppelen, omdat de wifi-verbinding dan verdwijnt. Hierdoor wordt de app echter ook onbruikbaar.
Met een firmware-update van de auto kan Mitsubishi het beveiligingsprobleem oplossen, iets waar de fabrikant meteen aan is gaan werken. Ken Munro adviseert het bedrijf om de wifi-verbinding helemaal te ‘killen’ en in plaats van een mobiele verbinding in te bouwen in de auto’s.