Mobilità connessa e mobilità sicura devono “viaggiare” sempre insieme. Quando ciò non accade guidatore e passeggeri corrono rischi molto alti, come verificato dai ricercatori di Pen Test Partners che hanno trovato la password della rete WiFi della Mitsubishi Outlander PHEV (Plug-in Hybrid Electric Vehicle) e compiuto diverse azioni da remoto con un semplice notebook.
Il Mitsubishi Outlander PHEV è l’ibrida plug-in più venduta in Europa, essendo uno dei SUV più economici sul mercato. Proprio per ridurre al minimo il prezzo, il produttore giapponese ha utilizzato un sistema di comunicazione veicolo-smartphone piuttosto inusuale. Invece di un modulo GSM, all’interno dell’automobile è presente un access point WiFi. L’utente non deve sottoscrivere abbonamenti e usare la rete mobile, ma è necessario effettuare la disconnessione da altre reti wireless e rimanere entro un certo range per comunicare con il SUV.
I ricercatori hanno scoperto che il sistema non è stato implementato in maniera sicura. La PSK (Pre-Shared Key) della connessione WiFi è troppo corta e troppo semplice. Sono sufficienti 4 giorni e 4 GPU per trovare la chiave e intercettare la comunicazione tra l’app e l’automobile con un attacco man-in-the-middle. A questo punto è possibile eseguire diverse operazioni da remoto, tra cui accensione/spegnimento delle luci e dell’aria condizionata, modifica dell’ora programmata per la ricarica e disattivazione dell’allarme, facilitando il furto da parte di un ladro.
Dopo l’iniziale disinteresse, Mitsubishi ha preso sul serio la questione, promettendo la distribuzione di un nuovo firmware per l’acces point WiFi che risolverà la vulnerabilità scoperta da Pen Test Partners.