Consiguen desactivar la alarma de los Mitsubishi Outlander hackeando su Wi-Fi
Los vehículos son cada vez más inteligentes y tienen un mayor número de componentes, por ejemplo, conexión a Internet vía red móvil e incluso por Wi-Fi. Debido a que los ataques de los piratas informáticos son cada vez más complejos y difíciles tanto de detectar como de mitigar, es necesario que los fabricantes apliquen las medidas de seguridad necesarias para proteger sus dispositivos (o vehículos, como en este caso) de estos piratas informáticos. Sin embargo, esto no siempre es así.
El Mitsubishi Outlander es uno de los vehículos utilitarios deportivos híbridos del mercado actual que, desde su lanzamiento, ha vendido más de 100.000 unidades en todo el mundo. Recientemente la empresa de seguridad Pen Test Partners ha descubierto una brecha de seguridad en los vehículos Mitsubishi Outlander gracias a la cual un atacante puede ser capaz de hackear el Wi-Fi del vehículo para llevar a cabo diferentes ataques, por ejemplo, desactivar la alarma antirrobo. Podéis visitar nuestra review alarma profesional Ajax Systems.
Mientras que la mayoría de los vehículos inteligentes de hoy en día suelen utilizar una conexión GSM para permitir al usuario controlar a distancia ciertos aspectos del vehículo (por ejemplo, encender las luces de forma remota, bloquear las puertas, localizarlo, etc, el Mitsubishi Outlander lo hace mediante un sistema poco habitual: mediante un punto de acceso Wi-Fi propio, con la desventaja de que el usuario está obligado a permanecer en un cierto rango para poder conectarse al coche.
La empresa de seguridad comenzó a buscar brechas de seguridad en este ámbito y, efectivamente, las encontró. El primero de los fallos de seguridad es que la clave del punto de acceso utiliza un formato sencillo y corto (en menos de 4 días la clave puede romperse, mucho menos si se utiliza un servicio de computación en la nube) y, además, está escrita en un trozo de papel dentro del manual. Es esencial evitar ataques al router, ya que afectaría a otros aparatos.
El punto de acceso tiene un formato único REMOTEnnaaaa> donde las n son números y las a letras minúsculas por lo que mediante plataformas como wigle.net es posible localizar estos vehículos fácilmente.
Una vez que los expertos de seguridad de Pen Test Partners tenían ya localizado el vehículo y su correspondiente clave utilizaron ataques MITM para lograr capturar todas las notificaciones que el vehículo enviaba a su dueño legítimo y, además, fueron capaces de controlar el aire acondicionado y la calefacción generando un gasto de batería considerable.
Por último, tan solo con la clave que habían crackeado, fueron capaces de desactivar la alarma del coche enviando un sencillo comando. Una vez desactivada la alarma consiguieron control total sobre la electrónica del coche como abrir las puertas y tener acceso físico al vehículo.
Cómo proteger el Mitsubishi Outlander de estos fallos de seguridad
Estos fallos de seguridad tienen una difícil solución ya que habría que realizar un cambio casi al completo de los protocolos de conexión y los algoritmos para evitar tanto que usuarios no autorizados pudieran conectarse al punto de acceso como que la clave pudiera ser crackeada, sin embargo, sí que hay un pequeño truco con el que podemos evitar que piratas informáticos comprometan la seguridad de nuestro vehículo.
Para ello, lo único que debemos hacer es desvincular todos los smartphones vinculados al vehículo. De esta manera, cuando este no tiene vinculado ningún teléfono, automáticamente el módulo Wi-Fi se desactiva y quedará desactivado hasta que el dueño lo active de nuevo pulsando 10 veces seguidas el botón del mando. Hay diferentes herramientas para hacer auditorías WiFi en Android.
De esta manera, aunque no podamos conectarnos desde nuestro teléfono al coche, otras personas tampoco podrán hacerlo.
¿Crees que los fabricantes de vehículos deberían reforzar mucho más la seguridad de su Internet de las Cosas?