Alarm Mitsubishi Outlander via wifi-sleutel uit te schakelen
Het beveiligingsalarm van de Mitsubishi Outlander is dankzij een zwakke wifi-sleutel door aanvallers uit te schakelen, zo hebben Britse beveiligingsonderzoekers van het bedrijf Pen Test Partners aangetoond. Net als veel moderne auto's beschikt de Outlander over een app om bepaalde functies te bedienen.
Het gaat dan bijvoorbeeld om functies voor het vinden van de auto, aanzetten van de koplampen of het op slot doen van de auto. De manier waarop de app verbinding met de auto maakt is echter opvallend, aldus de onderzoekers. De meeste auto-apps maken gebruik van een webdienst. Deze webdienst wordt gehost door de autofabrikant of hun serviceprovider en maakt via een gsm-module verbinding met de auto.
De Outlander maakt in plaats van een gsm-module gebruik van een wifi-netwerk. Om de auto via de app te bedienen moet er via het wifi-netwerk van de auto verbinding worden gemaakt. "Dit is een groot nadeel voor de gebruiker, omdat die alleen met de auto kan communiceren als hij binnen het bereik van het wifi-netwerk is", aldus de onderzoekers.
Wifi-sleutel
De wifi-sleutel om met het wifi-netwerk verbinding te maken bevindt zich in de handleiding. Volgens de onderzoekers is de wifi-sleutel te kort en daardoor eenvoudig te kraken. Voor hun onderzoek gebruikten ze een computer met vier videokaarten en hadden minder dan vier dagen nodig. Via het gebruik van een cloudhostingdienst of het aanschaffen van meer videokaarten kan de kraaktijd worden verkort.
Via de gekraakte wifi-sleutel is het mogelijk om het verkeer tussen de auto en de app te onderscheppen en analyseren. Aan de hand hiervan konden de onderzoekers vervolgens de airconditioning of verwaming in- en uitschakelen en de accu laten leeglopen. Daarnaast bleek het ook mogelijk om het auto-alarm uit te schakelen. Aangezien er nog geen oplossing voorhanden is krijgen autobezitters het advies om alle mobiele apparaten die met het wifi-netwerk van de auto zijn verbonden los te koppelen. Het wifi-netwerk zal zichzelf dan uitschakelen.
De onderzoekers stellen dat Mitsubishi met "desinteresse" op de melding reageerde. Inmiddels zou er echter aan een firmware-update worden gewerkt om de problemen op te lossen. Daarom is besloten om de code voor het uitschakelen van het alarm voorlopig nog niet te publiceren, maar dit zal mogelijk over een week wel worden gedaan. In de tussentijd kunnen autobezitters hun wifi-netwerk dan uitschakelen. In onderstaande video wordt de hack gedemonstreerd.
Overigens heb ik niets gevonden over een alarm wat uit te schakelen is. Anyway, van de verzekering moest ook een 2de alarm TNO/SCM gekeurd geinstalleerd worden, omdat hij diefstal gevoelig zou zijn, dus zelfs als de interne alarm uitgeschakeld wordt, dan nog boeit het niet omdat het externe alarm ook nog aan staat.
Overigens heb ik er in de afgelopen 3 jaar niets van gehoord dat er uberhaupt eentje gestolen was.. dus een broodje aap verhaal of een manier om premies te verhogen, of een collectief angstgevoel wat als een deken over (PH/EV) auto's heen gegooid werd.
Dit filmpje gaat echter mijn premie niet lager maken...
De sleutelsterkte maakt hierin niet uit, er zou voor zuks onder geen beding wifi gekozen moeten worden, da's vragen om moeilijkheden en om dan ook alsnog een fout te maken met zulke korte sleutels zegt ook voldoende over de hoeveelheid onderzoek die is gedaan alvoor de beslissing is genomen wifi in te zetten voor deze functies...
Niet mijn auto overigens.
De fout die hier schijnbaar gemaakt is om voor beveiliging op alleen WPA te vertrouwen. Als de client (de app) en server (de auto) bijvoorbeeld via TLS zouden communiceren (met client- én server-authenticatie), was er niks aan de hand geweest met het gebruik van wifi.
De fout die hier schijnbaar gemaakt is om voor beveiliging op alleen WPA te vertrouwen. Als de client (de app) en server (de auto) bijvoorbeeld via TLS zouden communiceren (met client- én server-authenticatie), was er niks aan de hand geweest met het gebruik van wifi.
Dat was ook een van de redenen waarom ik een Outlander had gekocht ipv een Leaf of een i3...
Die autobedrijven hebben al veel te veel phone-home meuk ingebouwd...
En wifi is gewoon uit te zetten.
De belangrijke dingen zijn te programmeren via de autoradio (nachttarief stroom etc), en de app, en daarna kan WIFI gewoon uit, geen wifi, geen hackers.
Als de stekker erin gaat gaat ie gewoon laden, daar heb je verder niets voor nodig.
Is die vol, is die vol, lekker belangrijk...
Is die niet helemaal opgeladen, ook niet interessant, want als ik moet rijden moet ik rijden.
Enige nadeel/voordeel is dat je zonder wifi niet de airco of verwarming aan kunt zetten ad-hoc.
Maar ik ga eigenlijk nooit ad-hoc weg met de auto, dan pak ik mijn Quad of cross motor wel effe als het snel moet..
sneller gestart dan zo'n kabel eruit halen en opbergen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
