Allvarlig säkerhetsbrist hittad i Mitsubishi Outlander

Säkerhetsexperten Ken Munro har hittat en pinsam miss i Mitsubishi Outlander.

Mitsubishi Outlander har en allvarlig säkerhetslucka som gör att exempelvis larmet kan avaktiveras. Luckan hittades av säkerhetsexperter på företaget Pen Test Partners och ignorerades först av Mitsubishi. Det var först när experterna vände sig till BBC som Mitsubishi valde att ta luckan på allvar.

Nu jobbar Mitsubishi för fullt på att täppa till säkerhetshålet, som enbart drabbar laddhybridversionen Outlander PHEV. Den är en av Sveriges vanligaste laddhybrider och mycket populär som tjänstebil.

Vad är egentligen problemet?

Problemet är mobilappen som bilägaren använder för att exempelvis kolla bilens laddstatus eller sätta igång en laddtimer. Mobilappen kommunicerar inte med bilen med hjälp av en molntjänst via mobilnätet utan via trådlöst nätverk (wifi), en lösning som är billig för Mitsubishi, men onödigt krånglig för användaren.

Den här lösningen innebär att bilägaren måste se till att vara uppkopplad mot bilens wifi-nät för att kunna ändra inställningar. Wifi-nätverket har ett namn som är relativt enkelt att gissa sig till och ett lösenord som experterna kunde hacka på några timmar.

Säkerhetsluckan kan bara utnyttjas när hackaren är i närheten av bilen – wifi-nätverkets räckvidd är inte särskilt stor – men att det över huvud taget är möjligt att stänga av larmet eller till och med stänga av bilen utan förarens medgivande är minst sagt problematiskt.

Mobilappen kan bara användas via bilens wifi-nätverk och inte via mobilnätet.

Så vad kan man göra?

För att inte råka ut för att någon utnyttjar säkerhetsbristen gäller det att ta bort wifi-kopplingen med bilen i Mitsubishis mobilapp.

Mitsubishi jobbar på att lösa problemet men det är oklart om det bara går att göra med en mjukvaruuppdatering. På längre sikt rekommenderar Ken Munro att Mitsubishi skrotar wifi-nätverkslösningen.

Att stänga av bilens larm var inga problem för säkerhetsexperterna.

Hur många bilar drabbas i Sverige?

Det är lite oklart.

"Eftersom våra bilar inte har larm, som de har på den engelska marknaden där testet är gjort, drabbas inte Outlander PHEV på den svenska marknaden av detta", säger Lotta Thulin, informationschef på Mitsubishi i Sverige, till Recharge.

Men även om bilarna i Sverige inte har larm har de fortfarande wifi-modulen och tillgång till mobilappen. Vi uppdaterar den här artikeln när vi får ett mer detaljerat svar.

Uppdatering 16.45: Mitsubishis informationschef skriver i ett mejlsvar till Recharge att wifi-systemet "har ett begränsat användningsområde" och att "systemet är separerat från bilens övriga vitala system".

"Det används endast för enklare användningsområden som till exempel timerinställning av laddning och klimatanläggning, tända eller släcka lamporna, se om någon dörr är öppen eller kontrollera batterinivån. Som jag nämnde tidigare har vi inga larm på Outlander PHEV på den svenska marknaden så det påverkas alltså inte i detta fall som det gjort i England", skriver Lotta Thulin.

"Vi fick informationen till oss idag och har inte gått ut med information till kunderna då vi väntar på mer information och eventuella åtgärder från Mitsubishi Motors i Japan."

Nissan hade tidigare en säkerhetslucka i mobilappen där ägaren kan ändra inställningar i elbilen Leaf. All data skickades helt okrypterat vilket gjorde att vem som helst med tekniskt kunnande kunde "tjuvlyssna".

Jag litar på att biltillverkarna har bra koll på it-säkerheten.
Ja
5
140
Nej