Il settore automotive si sta sempre più preparando al mondo IoT e, a questo proposito, sempre più veicoli vengono dotati di soluzioni tecnologiche per mettere in connessione l’auto, device di vario genere e le piattaforme: in un test svolto da Pen Test Partners, però, è emerso che a causa di un bug nella protezione wifi presente in una Mitsubishi Outlander, è possibile appropriarsi illecitamente di questo veicolo.
Dopo aver fatto questa scoperta abbastanza sorprendente, Pen Test Partners ha subito comunicato alla casa automobilistica nipponica che, nel sistema presente a bordo del suo veicolo, c’era questa vulnerabilità a livello di sicurezza. In pratica, l’hotspot dell’Outlander – concepito come una soluzione confortevole per gestire parecchi parametri del veicolo da un’app installata sullo smartphone – si trasformava in un punto debole per l’auto.
Nel suo report sulla protezione wifi della Mitsubishi Outlander, Pen Test Partners ha individuato una serie di bug che, all’apparenza, tanti utenti potrebbero essere spinti a non considerare come potenzialmente rischiosi: ma a un’analisi più approfondita, ci si rende subito conto di come queste vulnerabilità possano invece essere determinanti nel favorire il furto della propria auto.
Prima di tutto, la lunghezza della password impostata sulla rete Wi-Fi del veicolo era troppo ridotta: i responsabili di questo test, nel giro di circa 4 giorni, sono riusciti a individuare la password. Lo stesso potrebbe fare anche un ladro di auto che prende di mira la vostra automobile, soprattutto se parcheggiata sempre allo stesso posto, magari proprio davanti casa vostra.
In secondo luogo, i test hanno dimostrato un’eccessiva facilità nel decriptare i dati dei comandi scambiati tra l’app sullo smartphone e la Mitsubishi Outlander PHEV, con il risultato che un hacker potrebbe facilmente prendere il controllo del veicolo, cambiando per esempio le impostazioni dell’allarme, che possono essere disattivate comodamente attraverso WiFi.
L’ultima pecca riguardava invece il nome dell’access point, non generato in maniera random, bensì secondo un preciso modello (REMOTE + 2 cifre + 4 lettere): in questo modo, sfruttando uno dei tanti servizi reperibili sul web, sarebbe possibile ottenere una collocazione su mappa di tutte le reti da hackerare.