研究人員找到三菱Outlander的無線網路漏洞

PenTestPartners的資安研究人員披露了三菱熱銷插電式油電混合車(PHEV) Outlander可能對車主造成危害的嚴重漏洞。這個在6月5日禮拜一所發表的安全通告內描述了這個影響日本休旅車的安全漏洞,這個漏洞可以讓攻擊者去侵入汽車連線做出自己想做的事 – 關閉汽車警報系統或是其他危險的事情。

這個安全漏洞跟車上的無線網路模組有關,開啟了被入侵的通道,攻擊者不僅可以連上車子的警報系統,還有其他設定,讓攻擊者或任何外來者可以去耗盡車子的電池。

 

[延伸閱讀:車輛遭駭:駭客真的有辦法操縱您的車輛]

發現漏洞的研究人員解釋說:「利用行動應用程式連上車子的方式並不正常,因為大多數遠端遙控應用程式要定位車子、閃大燈或遠端上鎖會利用網頁服務進行,而這網頁服務是由汽車廠商或其服務供應商提供,透過GSM網路連到車上的模組,這樣人們就可以從幾乎任何地方透過行動方式來與汽車連線。

而Outlander PHEV並非使用常見的GSM模組,而是使用無線網路連結,研究顯示這個模組並沒有被安全的實作,其共享金鑰很容易被破解。除此之外,每台Outland都有獨特的無線網路名稱,這代表惡意攻擊者可以輕易地追踪他們所看中的車子,一旦惡意分子解鎖並滲透系統,就有辦法進行各種可能的攻擊 – 控制車輛燈光、溫度,甚至是上鎖/開鎖功能。

在對ZDnet所發表的聲明中,發現漏洞的研究人員表示此漏洞已經跟該公司正式溝通過,但這汽車大廠作出漠不關心的回應,而有趣的是,當資料披露給媒體後,三菱官方很迅速地作出回應,根據報導,修復程式已經在開發中。

根據三菱表示,全世界沒有其他地方作出類似報導,據信已經有超過10萬台的油電混合車售出,該公司指出他們對此事相當重視,正與研究人員和有關當局密切合作來解決此安全漏洞所可能帶來的危害。截至目前為止,調查仍在進行中,該公司呼籲車主在應用程式取消VIN車身號碼註冊來停用內建的無線網路。

今年三月,有關當局發布了公共服務宣導來警告公眾關於汽車遠端漏洞的持續飆升。美國聯邦調查局(FBI)的公告指出,「美國聯邦調查局(FBI)和美國國家公路交通安全管理局(NHTSA)警告公眾和廠商(汽車、汽車零件或後勤保養)要對現代化汽車聯網技術的潛在問題和網路安全威脅提高警覺。

智慧型汽車一再因為安全錯誤而出現漏洞,三菱也加入了行列。在2016年2月,Troy Hunt和Scott Helme發現日產Leaf車用應用程式可能被用來遠端入侵任意日產Leaf的車載系統,而在相同的二月稍早,一名聖地亞哥研究人員分享如何利用智慧型汽車作業系統的嚴重漏洞來劫持汽車,只需要播放一片帶有惡意軟體的光碟,而在2015年,安全專家Chris Valasek和Charlie Miller利用新款Jeep Cherokee的3G連線功能來表演汽車劫持特技,結果導致140萬輛汽車被召回,在那項實驗之後,研究人員還發現能夠用來操控車輛煞車及其他系統的漏洞。

資深威脅研究員Rainier Link在其專家見解影片中談到智慧型汽車安全性以及汽車廠商在掌控此一新興技術的安全性時所該扮演的角色中提到:「就汽車廠商而言,他們或許擁有豐富的造車知識,但卻缺乏了些對IT安全的知識,因為這對他們來說是新的領域。

 

@原文出處:Researchers Uncover WiFi Vulnerability in Mitsubishi Outlander