圖片來源: 

PenTest Partner

愈來愈多汽車藉由車聯網及車載資訊技術導入車況檢查或遠端開空調等方便的服務,然而滲透測試暨安全服務供應商PenTest Partner近日研究發現,三菱汽車熱銷的Outlander插電混合車(PHEV)的無線網路安全防護不足,可讓駭客入侵而控制車輛的空調、車門及警報設備。

一般車聯網,是利用GSM、3G/4G網路連結車輛與車廠或其合作夥伴代管的Web服務,執行像是車輛定位、開啟頭燈、遠端鎖門等任務。Outlander PHEV卻是在車上配備Wi-Fi。使用Wi-Fi網路的好處是免代管費、免GSM網路月租費,對車廠商來說,還省了開發成本,然而代價是會讓車主面臨更大的安全風險。

研究發現,Outlander PHEV將預設的Wi-Fi共通密碼寫在使用者手冊中,而且格式過於簡單,長度也不足。研究人員以4顆GPU的設備在不到4天內即輕易破解,同時也以巧妙方式取得這台Wi-Fi熱點的SSID。

 

 

在成功駭入Outlander PHEV之後,研究人員得以成功開、關車燈、擾亂充電程式使車子以最貴費率充電,或是關閉空調、漏光電池的電。不過上述都還是惡作劇,最可怕的是,研究人員還能遠端關閉車子防盜警報,開、關車門,甚至坐進車內扳動車門把手開門,警報器響都不響。研究人員指出,只要車門開啟,有心人士就可以在車上診斷系統動手腳。

該公司將此問題通報三菱後,卻到對方冷淡以對。研究人員表示,這問題最終必須仰賴三菱重新設計以GSM模組/web服務的模式取代Wi-Fi AP/client的連線方式。

在此之前,車主最好儘速將所有行動裝置與車子解除配對,使車內的Wi-Fi模組進入休止狀態。但缺點是完全無法使用App。如果要使用App,還是有賴三菱遠端升級Wi-Fi模組韌體來解決安全瑕疵。

這已不是第一次安全人員示範如何駭入汽車了。去年7、8月飛雅特克萊斯勒(Fiat Chrysler)及通用汽車車載系統分別遭安全研究人員展示如何駭入以遠端解鎖及啟動汽車,甚至控制油門和剎車。二月間日產汽車(Nissan)也被揭露,該公司應用程式設計介面(API)有安全漏洞,使旗下Leaf與eNV200兩款汽車的功能能為駭客操控。


Advertisement

更多 iThome相關內容