本周早些时候,一段视频在网上播出,展示了如何通过其智能手机应用程序将三菱欧蓝德PHEV入侵,以访问和控制各种功能。
如果您拥有三菱欧蓝德PHEV,那么毫无疑问,这则消息听起来可能令人不安,但并不像听起来那样糟糕。但这确实突出了与欧蓝德PHEV的智能手机应用程序如何连接到车辆有关的一些问题,正如三菱澳大利亚公司的通讯负责人Shayna Welsh告诉《实用汽车》杂志“三菱汽车非常重视此事,我们公司的专家将被部署以更好地了解问题”。
在我们进入黑客攻击本身之前,如果您吓跑了几公里内的每个斑点怪人,都将能够访问您的Outlander并开始闪烁大灯,Welsh说:“在此早期阶段,直到进行进一步的技术调查为止,担心他们的车辆应使用应用程序上的“取消VIN注册”选项或使用远程应用程序取消程序来停用WiFi。
“虽然显然令人不安,但从报道中来看,这种黑客行为仅影响汽车的Smartphone应用程序,因此对车辆的影响有限(警报,充电,加热)。应注意的是,上述黑客行为并未影响到车辆的防盗器,并且没有威尔士告诉《实用汽车》杂志。
那么,到底是什么?好吧,决定入侵Outlander PHEV的公司是总部位于英国的IT公司Pen Test Partners,该公司代表渗透测试和安全服务。该公司在英国广为人知,并定期为BBC出版物撰写有关其在日常家居用品中发现的后门的文章,例如被黑客入侵的Sony Bravia电视,然后可以收听所述电视所进行的对话……令人毛骨悚然。
根据其网站上的帖子,Pen Test Partners说,当它注意到其智能手机应用程序已连接“有一种与车辆连接的不寻常方法,因此我们购买了一辆进行调查”时,便激起了对欧蓝德PHEV的兴趣。
根据Pen Test Partners的说法,Outlander PHEV与其他车辆之间的区别在于,与其使用汽车制造商提供的基于Web的服务,该服务随后使用GSM和汽车上的模块连接到该汽车;允许通过移动数据从世界任何地方访问它…
车辆上有一个Wi-Fi接入点,而不是GSM模块。为了连接到汽车功能,我们必须断开与任何其他Wi-Fi网络的连接,并明确连接到汽车AP。从那里,我们可以控制汽车的各种功能。
“这对用户来说是一个巨大的劣势,因为我们只能在Wi-Fi范围内与汽车通信。我认为对于Mitsubishi来说,这样设计的价格要比基于GSM / Web服务/移动应用程序的解决方案便宜得多。没有GSM合同费,托管费,开发成本最低。”
Pen Test Partners的团队花了大约四天的时间才入侵Outlander PHEV,但是(尽管他们声称可以更快地完成),一旦进入机器声称可以解锁,则只能以“溢价率”收费电力,激活气候控制以及打开和关闭大灯。但是,尽管这确实是严重的违规行为,但三菱和Pen Test Partners表示,如果没有智能钥匙,发动机防盗装置在整个安全漏洞中始终处于活动状态,他们将无法真正启动车辆。就是说,我敢肯定,克隆密钥不会花太长时间……该公司在其博客中提到了其他入侵了宝马并能够克隆密钥的人。字里行间的威胁?也许。
结果是,连接性越高,风险就越大,尽管该公司确实建议采用更安全的方法将智能手机应用程序连接至车辆。因此,过去曾经是穿过窗户的金属丝或砖头闯入某人的汽车,现在变成了笔记本电脑和互联网。