Mitsubishi Outlander wi-fi erişim noktasından hack’lendi – video
Penetrasyon ve güvenlik testleri yapan İngiliz Pen Test Partners firmasının kendi bloglarında yaptığı açıklamaya göre ülkede oldukça yaygın kullanılan hibrid Mitsubishi SUV’u Outlander’i üzerindeki Wi-Fi erişim noktası sayesinde hack’lediler.
Günümüz araçları cep telefonunuzla iletişim kurabiliyor. Bu yeteneklerini genelde aracın üzerindeki bir GSM modülü ile kazanıyorlar. Araçlarda GSM modülü olması araç üreticilerinin GSM firmalarına para ödemeleri demek oluyor. Araç ve akıllı telefonunuz arasındaki iletişim GSM modülü ile web üzerinden sağlanıyor.
İşte Mitsubishi Outlander’da bu dolaylı yolu ortadan kaldırmak için araca entegre olarak bir wi-fi erişim noktası cihazı kullanışmış. Böylece doğrudan telefon ve araç arasında iletişim kurmak mümkün hale gelmiş.
Pen Test Partners firması yetkilileri bu sistemin güvenli bir şekilde düzenlenmediğini ispat etmek için bir dizi işlem yaparak bunu kanıtladılar ve aracın alarm mekanizmasını kapatmayı başardılar.
Araç wi-fi erişim noktasına sahip olduğu için öncelikle aracın sunduğu bu wi-fi ağa telefonunuzla bağlanmanız gerekiyor. Firmaya göre ilk sorun da burdan başlıyor. Söz konusu wi-fi ağının parolası araçla birlikte gelen kılavuzun üzerinde yazıyor ve çok basit tutulmuş: 4 harf ve 6 nümerik karakter. Yetkililer çok düşük bütçeli bir cloud-computing işlemi sonrasında bu şifreyi kırmanın gayet kolay olduğunu belirtiyor.
Yetkililer daha sonra akıllı telefon ve cihaz arasındaki iletişim protokolünü çözmek için bu ikisi arasındaki trafiği dinleyerek 4 günlük bir uğraş sonrasında tersine mühendislik yapılabilmeye elverişli bir sistem olduğunu tespit etmişler.
İlk başta araç farlarını yakıp söndürmeyi, klima sistemini kumanda etmeyi başaran uzmanlar arabanın alarm sistemini devre dışı bırakarak sistemin güvensiz olduğunu ispatladılar.
Durumu Mitsubishi yetkililerine bildirdiklerinde “bunun büyük bir sorun olmadığı” cevabını alan uzmanlar YouTube’da yayınladıkları bu video ile kullanıcıları bilgilendirme yoluna gittiler. Video yayına hazırlandığı sırada Mitsubishi yetkilileri durumu yeniden değerlendirip soruna kalıcı bir çözüm getireceklerini belirtmiş.
Pen Test uzmanları sorunun geçici çözümü olarak mobil uygulamadaki “Cancel VIN Registration” fonksiyonunu kullanmaları gerektiğini ifade ediyorlar.
Son yorumlar