🔮 🌐 🍵 ميتسوبيشي أوتلاندر SUV تكسر بسهولة عبر Wi-Fi 🚛 🎴 🏘️

سيتم وضع ثنائي لإغلاق المنبه عن بعد في غضون أسبوع. حتى هذه اللحظة ، يكون لدى مالكي السيارات الوقت لإلغاء تنشيط Wi-Fi في السيارة

نشرت مجموعة من المتخصصين من شركة القرصنة البريطانية Pen Test Partners تعليمات حول كيفية التحكم عن بعد (عبر Wi-Fi) في التحكم في الأنظمة الإلكترونية الفردية من ميتسوبيشي أوتلاندر هايبرد إس يو في (مدينة كروس أوفر). حمّل المتسللون مقطع فيديو مدته خمس دقائق يوضح القرصنة.

من بين أمور أخرى ، تسمح لك الطريقة بإيقاف تشغيل إنذار السيارة. لذلك يجب على مالكي Mitsubishi Outlander إلغاء تنشيط نقطة وصول Wi-Fi بشكل أفضل. على الرغم من أن السيارة باهظة الثمن (أكثر من 50000 دولار) وتبدو مرموقة ، إلا أن نظام الأمان ضعيف: يتكون مفتاح WPA-PSK من ثمانية أحرف ويتم اختياره بسرعة عن طريق القوة الغاشمة.

ثغرة أمنية Mitsubishi Outlander هو تطبيق محمول يتصل بالجهاز مباشرة. في العديد من السيارات الأخرى ، ينشئ تطبيق الجوال اتصالاً عبر الإنترنت ، أي عبر خادم الشركة ، ولكن هنا يتم تأسيس الاتصال مباشرة. في هذا الصدد ، يختلف ميتسوبيشي أوتلاندر عن الآخرين. تحتوي السيارة على نقطة وصول ، ويتصل الهاتف بها عبر Wi-Fi.

كل ميتسوبيشي أوتلاندر لديها نقطة وصول W-Fi فريدة بتنسيق [REMOTEnnaaaa] ، حيث "n" هي أرقام ، "a" هي أحرف صغيرة.

من السهل جدًا على المالك الوصول المباشر إلى السيارة عبر Wi-Fi - مباشرة من الهاتف يمكنك تشغيل المصابيح الأمامية أو إيقافها بلمسة زر واحدة ، وإزالة السيارة من المنبه وما إلى ذلك.

كما يحب اللصوص هذه الميزة ، لأنهم الآن يمكنهم بسهولة تتبع جميع سيارات ميتسوبيشي أوتلاندر في مدينتهم. أو تتبع حركة سيارة معينة. لست بحاجة إلى تثبيت خطأ عليه - ما عليك سوى الانتقال إلى محرك بحث WiGLE hotspot ، وإدخال SSID ومعرفة مكان تواجد كل ميتسوبيشي أوتلاندر مع نقاط الاتصال.

للاتصال بنقطة الوصول ، يجب عليك إدخال المفتاح (المفتاح المشترك مسبقًا) للمصادقة باستخدام تقنية WPA-PSK. يشار إلى المفتاح على قطعة من الورق في دليل المستخدم. تكمن المشكلة في هذا السياق - فهي قصيرة جدًا (ثمانية أحرف فقط).

وجد خبراء Pen Test Partners كلمة مرور في أقل من أربعة أيام من القوة الغاشمة على جهاز كمبيوتر مزود بأربع وحدات معالجة رسومات. إذا قمت باستئجار مثيل على AWS ، فسيتم تحديد كلمة المرور هذه "على الفور تقريبًا" ، كما يقول أحد المتسللين.

بعد ذلك ، نشأ السؤال: إذا تم اختيار المفتاح بكل بساطة ، فما هي التدابير الأمنية الأخرى المستخدمة لمصادقة الهاتف الذكي ، لأنه يحصل على وصول مباشر إلى أنظمة التحكم الإلكترونية في السيارة.

اتضح أن لا شيء. لا مزيد من الإجراءات الأمنية. يكفي مفتاح WPA-PSK للاتصال بالسيارة والحصول على العديد من الوظائف.

أطلق الرجال برنامج Wireshark لدراسة حركة مرور الشبكة بين نقطة الوصول والهاتف الذكي المضيف. في حالة حدوث هجوم حقيقي ، عليك الانتظار حتى يصل المالك إلى المنزل ويوقف السيارة. بعد ذلك ، افصل الهاتف الذكي باستمرار من جهاز توجيه Wi-Fi المنزلي ، بحيث لا يزال الهاتف الذكي يحاول المصادقة في نقطة اتصال السيارة.

بعد اعتراض حركة المرور في الوقت الذي يتصل فيه الهاتف الذكي بالسيارة ، نحصل على نقطة اتصال SSID. بعد فحص حركة المرور بين الأجهزة ، يمكنك تنظيم هجوم MiTM وإرسال حزم نيابة عن الهاتف الذكي المضيف.

يسمح لك برنامج Wireshark بدراسة حزم تطبيقات الهاتف المحمول الأصلية Mitsubishi Outlander Hybrid عند إرسال أوامر معينة من الهاتف الذكي. ثم كرر هذه الحزم لتكرار الأوامر. من تطبيق الهاتف المحمول ، تمكن المتسللون من تشغيل وإطفاء المصابيح الأمامية بنجاح. ثم حددوا كيفية تنشيط وظيفة شحن البطارية ، بحيث يمكنهم في حالة وقوع هجوم البدء عمداً في شحن السيارة بأغلى تعرفة للكهرباء ، مما سيتسبب في ضرر مالي للمالك بعدة دولارات. في النهاية ، تعلموا تشغيل وإيقاف نظام تكييف الهواء والتدفئة ، والذي يمكنك من خلاله تفريغ بطارية Mitsubishi Outlander Hybrid بكفاءة (بحيث يزيد الضرر المالي للمالك إلى عشرات الدولارات).

لكن الأهم من ذلك ، تمكن المتسللون من إيقاف تشغيل نظام إنذار السيارة أخيرًا. هذا إنجاز خطير. عند إيقاف المنبه ، يحتاج اللص فقط إلى كسر الزجاج لاختراق حجرة الركاب بدون صوت وفتح باب السيارة من الداخل. صحيح أن المتسللين لم ينشروا في المجال العام رمزًا معينًا (حمولة) ، والذي يجب إرساله لإيقاف المنبه ، لذلك عليك أن تلتقطه بنفسك (إذا كنت ترغب في ذلك). أو انتظر لمدة أسبوع أو أسبوعين عند استمرار ظهور الحمولة.

عند اختراق الكابينة مع إيقاف التنبيه ، يحصل المهاجم على فرصة لتنفيذ أنواع مختلفة من الهجمات. هناك بالفعل وصول مباشر إلى منفذ التشخيص ، لذلك يتصل الكمبيوتر المحمول مباشرة بكمبيوتر السيارة. في الماضي ، أظهر خبراء أمان الكمبيوتر بشكل متكرر ما يمكن القيام به في طرازات سيارات مختلفة إذا قمت بالاتصال عبر OBD. على سبيل المثال ، تمكنت إحدى مالكي سيارة تسلا ومخترق لينكس متمرس تحت الاسم المستعار Hemera قبل شهر من كسر نظام الكمبيوتر وتثبيت نظام التشغيل Gentoo المفضل لديها هناك بدلاً من Ubuntu المدمج ، والذي يفضله Ilon Mask.

يقول المتسللون أن حشو الشبكة الداخلية لسيارات الدفع الرباعي لا يزال يتعين التعامل معه بمزيد من التفصيل. حسنًا ، لأصحاب سيارات Mitsubishi Outlander Hybrid ، يقدمون حلاً مؤقتًا: إلغاء تنشيط نقطة وصول Wi-Fi. للقيام بذلك ، يجب عليك أولاً الاتصال بنقطة الاتصال من هاتفك الذكي ، ثم الانتقال إلى إعدادات تطبيق الهاتف المحمول (الإعدادات) وتحديد عنصر "إلغاء تسجيل VIN".

عند إيقاف تشغيل جميع الأجهزة المحمولة ، يتم تعطيل وحدة Wi-Fi في السيارة. لم يعد من الممكن تنشيطه حتى تضغط على الزر الموجود على مفتاح التحكم عن بعد عشر مرات على التوالي. وعلق الرجال في Pen Test Partners قائلين "ميزة أمان رائعة".

يعتقد المتسللون أنه يجب على الشركة المصنعة أن تطلق على وجه السرعة تحديثًا للبرنامج الثابت لوحدة Wi-Fi اللاسلكية من أجل القضاء على الثغرة الأمنية. من خلال تثبيت برنامج ثابت جديد ، يمكن لسائقي السيارات إعادة تنشيط نقطة اتصال السيارة واستخدام تطبيق الهاتف المحمول مرة أخرى.

بشكل عام ، يوصي الخبراء بأن تتخلى ميتسوبيشي عن استخدام Wi-Fi للتواصل مع الهاتف الذكي ، والتبديل إلى تقنيات الويب الأكثر حداثة ، والاتصال بالهاتف عبر الإنترنت عبر GSM.

كما هو متوقع ، أبلغت مجموعة Pen Test Partners شركة ميتسوبيشي عن الخطأ مسبقًا ، لكن معلوماتهم لم تثير اهتمام الشركة المصنعة للسيارات. ثم اتصل القراصنة بقنوات بي بي سي وصنعوا قصة صغيرة على شاشة التلفزيون. ويقولون: "من الآن فصاعدًا ، أصبحت ميتسوبيشي متجاوبة للغاية".

يعد المتسللون بوضع ثنائي لإيقاف المنبه في غضون أسبوع أو أسبوعين ، مما يترك وقتًا كافيًا لمالكي السيارات لإيقاف المنبه.

ميتسوبيشي أوتلاندر SUV تكسر بسهولة عبر Wi-Fi

سيتم وضع ثنائي لإغلاق المنبه عن بعد في غضون أسبوع. حتى هذه اللحظة ، يكون لدى مالكي السيارات الوقت لإلغاء تنشيط Wi-Fi في السيارة

More articles: