Как пояснили хакеры, они были удивлены спецификой обмена данными между компьютером автомобиля и мобильным приложением для дистанционного управления некоторыми функциями ТС. Так большинство подобных систем передаёт информацию через сервер производителя, откуда команды поступают непосредственно к транспортному средству посредством мобильного интернета. Outlander PHEV напротив подключается к интернету через Wi-Fi сеть, взломать которую оказалось даже проще.
Ключ доступа к точке доступа указывается в инструкции к автомобилю. Для упрощения его делают коротким и простым. В результате экспериментаторы смогли подобрать правильную комбинацию менее чем за четыре дня. Специалисты PenTestPartners смогли дистанционно управлять работой фар, климатической системой, а также менять режим работы гибридной силовой установки. При этом им не удалось открыть замки, но получилось отключить сигнализацию.
Компания Mitsubishi Motors уже проинформирована об уязвимости. Специалисты по кибербезопасности указали производителю кроссовера на недостатки в системах гибрида, а также рекомендовали перейти на более защищенные каналы передачи информации через GSM-сети.
Источник: Pentestpartners