O especialista Ken Munro conseguiu acessar o alarme de um Mitsubishi Outlander PHEV e desativá-lo, explorando falhas na segurança do wi-fi do carro. O processo foi mostrado em um vídeo publicado no YouTube e a falha foi notificada à montadora no início do mês, no Reino Unido.
Após o vídeo a Mitsubishi aconselhou aos usuários que desliguem o wi-fi quando não estiverem no carro. O caso está sendo investigado pela fabricante.
A falha foi descoberta quando Ken identificou uma wi-fi diferente em seu samrtphone. Ele verificou que o ponto era da rede do Outlander de um amigo, que demonstrou a forma de utilizar o aplicativo associado ao sistema e como era possível controlar certas funções do veículo de forma remota.
A partir desse episódio, o especialista resolveu explorar o aplicativo e percebeu algumas vulnerabilidades. Para realizar os testes ele comprou uma Outlander e começou a investigar como o app se comunicava com o veículo. Em seu site, Munro descreveu como a invasão do wi-fi foi realizada sem maiores problemas. Ele e um time de especialistas da Pen Test Partners realizaram a invasão como se não tivessem acesso ao veículo.
Após invadir o sistema, a equipe realizou algumas ações como piscar os faróis, alterar configurações e ligar o ar-condicionado a ponto de esgotar a bateria. Depois, o especialista descobriu que era possível inclusive desligar o alarme à distância. Ele descreveu que foi possível entrar e se movimentar dentro do carro. “Depois eu pude destravar o carro pela maçaneta, sem que o alarme fosse acionado”, descreveu Ken.
A Mitsubishi entrou em contato com o hacker, levando o caso a sério. “A Mitsubishi precisa refazer completamente o sistema de conexão do cliente com o wi-fi. Usar um módulo GSM com servidor seria o melhor método a longo prazo, como no BMW Connected Drive”, recomendou o especialista.
Já foram demonstrados outros testes de vulnerabilidade por hackers em carros como o Jeep Cherokee, que foi um dos mais chamativos. Nesse caso os especialistas conseguiram, de forma remota, controlar a aceleração do veículo. O caso fez a Fiat Chrysler convocar um recall do sistema Uconnect, em versões que possuem wi-fi, no ano passado. Mas além do Cherokee, o Tesla Model S e o Nissan Leaf também foram alvos dos hackers.