Norges mest populære oppladbare hybridbil er enkel å hacke. Det hevder britiske sikkerhetsforskere om Mitsubishi Outlander PHEV.
– Noen av sårbarhetene er mer morsomme, mens andre er temmelig alvorlige, sier Ken Munro, en penetrasjonstester i firmaet Pen Test Partner.
Mitsubishi Norge er ikke like bekymret, skal det vise seg, men først:
Funnet ble kunngjort med tekst og levende bilder i går. I verste fall kan uvedkommende tømme batteriet for strøm.
Bilen har en mobilapplikasjon som kan fjernstyre enkelte funksjoner. Det er blant annet mulig å manipulere frontlys, klimaanlegg og ladesystem fra appen.
Sikkerhetsforskerne hevder at tyverialarmen også kan deaktiveres, ifølge BBC som plukket opp saken først i dag. Men dette avviser Mitsubishi Norge overfor digi.no. Bilen blir nemlig ikke levert med tyverialarm, i hvert fall ikke her til lands.
Kommunikasjonen skjer via bilens eget trådløse wifi-nettverk og ikke over mobilnettet.
For å gjøre dette trengs navnet på aksesspunktet (SSID) og passordet. Dette er inkludert i bilmanualen.
Munro påpeker at passordet er for svakt. Ifølge ham følger det et mønster med fire små bokstaver etterfulgt av seks tall. Passordet teller altså ti karakterer til sammen.
– Det holder rett og slett ikke. Vi knakk passordet på en relativt svak GPU-rigg og det tok fra én til maksimalt fire dager. Gjør du dette med kraften fra nettskyen kan du knekke passordet omtrent umiddelbart med leie av maskinkraft tilsvarende 1.000 dollar, sier sikkerhetsforskeren.
Bilen koster 40.000 dollar, kommenterer han tørt. Listepris i Norge starter på nærmere 420.000 kroner.
Mitsubishi Norge: – Ikke alvorlig
– Vi mener at dette ikke er en alvorlig sikkerhetsfeil. Passordet som følger med bilens trådløse nettverk er på 10 karakterer og består av en blanding tall og bokstaver. Så kan man hevde at det burde ha vært 30 karakterer, men det er ikke noe enkelt passord, sier administrerende direktør Rune Gjerstad i Mitsubishi Norge til digi.no.
Han har sett videosnutten britene har laget og mener de «må ha hoppet over et par ting».
– På en hybrid må du ha bilnøkkelen for å koble til en mobil eller pc. Da må du gjennom en omstendelig prosess for å gjøre nettverket synlig.
Første gang bileier vil koble seg til wifi-nettverket må du ifølge Gjerstad sette deg inn i bilen, lukke døra og klikke frem og tilbake med nøkkelen ti ganger. Klikker du for raskt eller ikke har telefonen klar må du begynne på nytt. Da må du gå ut av bilen og starte hele prosessen igjen.
Videre forklarer han at nettverket da bare er synlig i fem minutter. – Selv om du skulle klare å knekke koden og se nettverket, får du ikke koblet deg på. Det er nemlig bare mulig å koble til maksimalt to enheter til én bil.
– Han (sikkerhetsforskeren) som forklarer at du kan kjøre gjennom et nabolag og koble deg til andres biler tar feil. Det stemmer ikke, det går ikke an, sier norgessjefen.
Klart råd fra Mitsubishi
Men vent litt. Gjerstad snakker om tilkobling av inntil to enheter. Hva hvis eieren kun har paret én mobiltelefon til bilen sin?
Da er det visst teoretisk mulig at uvedkommende, dersom de har knekt passordet, likevel kan koble seg til, hvis vi forstår ham rett.
– Det klare rådet blir altså å sørge for at du kobler til to enheter. Da har du brukt opp de to plassene som kan brukes, vedgår Rune Gjerstad.
Han innrømmer at det sikkert er mulig å knekke den 10-sifrede koden, men er uansett ikke særlig bekymret.
– Da er vi tilbake til poenget med hva du kan gjøre med appen. Det er ingen alarm du kan styre. Det du kan gjøre er å skru av og på lys og klimaanlegg. Du kan tømme batteriet for en kunde og tulle med ladetiden. Det er kjedelig hvis du skulle oppleve det, men vi opplever ikke dette som en sikkerhetsrisiko.
Synes løsningen virker gjennomtenkt
– Vil dere informere kundene om at de bør pare to enheter for å minimere risikoen for at uvedkommende kobler seg til nettverket?
– Ja, for så vidt. Nå har vi solgt en del tusen biler i Norge og aldri hørt at dette er noen utfordring. Vi synes det er greit at spørsmål stilles. Men samtidig når man har et trådløsnett på bilen virker det som at de fra fabrikkens side har tenkt igjennom dette på en god måte. For min egen del er det mye bedre sikkerhet på hybridmodellen enn på datautstyret mitt hjemme, mener Rune Gjerstad i Mitsubishi Norge.