Tore on omada autot, mille salongi saab kaugel toas olles läbi telefoniäpi soojaks kütta või maha jahutada, kontrollida uste lukustust või auto laetust. Just selline on Mitsubishi OutlanderPHEV pistikhübriid, mis hiljuti turvauurijate poolt lahti häkiti. Uurijad paljastasid, et iga nutitelefoni või arvutiga möödakäija võiks piisavate teadmiste korral auto signalisatsiooni välja lülitada, vahendas BBC.

Internetti ühendatud autod suhtlevad tavaliselt üle mobiilse interneti oma juhtserveriga.Kasutaja edastab oma telefoniäpist käsu, mis edastatakse autofirma serverisse, kust see jõuab autosse läbi GSM mooduli.

Turvaekspert Ken Munro avastas aga, et Mitsubishi on autoga suhtlemise lahendanud hoopis teisel ja hulga ebaturvalisemal viisil. Nimelt on autol enda wifi saatja, mis loob autole oma wifi võrgu. Selleks, et äpi kaudu autofunktsioone juhtida, tuleb olla füüsiliselt auto lähedal wifi võrgu levialas. Kuigi see on autojuhile selgeltebamugavam, on see ilmsel palju odavam lahendus kui GSM moodul.

Ent lisaks ebamugavusele on see kaüpris ebaturvaline. Munro meeskond katsetas wifi turvavõtme lahti murdmist suhteliselt väikese jõudlusega süsteemil, kus see võttis aega umbes neli päeva.

Kui rentida näiteks 1000 euro eest mõni pilveserver, oleks Eestis pea 40000 eurot maksvasse autosse häkkimine sekundite küsimus. Iga Outlanderi wifi võrgu nimi on samuti väga lihtne, sisaldades lisaks kahele numbrile ning kolmele tähemärgile nime REMOTE. Selline ülesehitus võimaldab igal soovijal leida Outlandereid erinevate veebilehtede abil, mis wifi võrkude asukohti kaardistavad.

Munro avastas, et kui häkker on wifi võrku juba sisse loginud, käib autole sõnumite edastamine lihtsa binaarse protokolli kaudu. Nii on võimalik läbi arvuti auto tulesid süüdata, mis avaldaks akule ehk mõningast mõju. Samuti on võimalik ka auto salongijahutus sisse lülitada, mis tühjendaks aga aku loetud tundidega.

Kuna Mitsubishi outlander on hübriid, on võimalik rakendusest määrata ka auto laadimistunde, et see toimuks öise odava elektri abil. Pahatahtlik häkker võib auto laadimise sootuks lõpetada, nii et hommikul auto juurde naasnud kasutaja avastab sealt tühja akuga masina.

Need kõik on auto omaniku jaokstüütud, kuidsuhteliselt ohutud trikid. Kuid neile lisaks avastas Munro, et läbi häkitud auto wifi võrgu on võimalik ka auto signalisatsiooni välja lülitada. See aga annab häkkeritele piiramatud võimalused. Auto salongis paikneva diagnostika pistiku kaudu on võimalik auto digitaalseid võtmeid kopeerida või autot käivitada.

Mõned päevad tagasi demonstreeriti ebaturvalist wifi võrku ka Mitsubishile, kes alustas turvalisuse tõstmiseks koostööd ka Munroga. Seniks aga soovitab Mitsubishi kasutajatel läbi mobiilirakenduse auto wifi välja lülitada, valides rakenduse seadetest valiku „cancel VIN registration“.

https://youtube.com/watch?v=NSioTiaX_-Q%3Ffeature%3Doembed

Fotod: Mitsubishi