Самый популярный в Украине электромобиль Nissan Leaf беспомощен против хакеров. Эксперт по интернет-безопасности Трой Хант найден Через уязвимость в API управления транспортным средством мобильного устройства злоумышленник может удаленно управлять некоторые из его функций через уязвимость. Все, что вам нужно, это идентификационный номер автомобиля, который легко найти.
Посетитель Hunt Security Workshop с Nissan Leaf заметил, что приложение iOS, которое позволяет удаленно управлять электромобилями, использует только идентификационный номер автомобиля для аутентификации пользователя. То есть вы можете управлять системой кондиционирования воздуха и получать информацию об уровне мощности.
Хант подтвердил посредством анализа API, что уязвимость позволяет электромобилям «приземляться» удаленно. Они провели эксперимент со своим коллегой Скоттом Хельмом и продемонстрировали, как включить кондиционер, не зная идентификационного номера автомобиля. постепенно разряжал батарею припаркованных автомобилей. Он также пояснил, что ошибка в API не позволяла ему получить контроль над двигателем или открывать и закрывать двери.
Однако, участник упомянутого выше семинара Hunt, он не хотел называть его имени и пошел дальше … Он обнаружил, что, когда приложение управления электромобилем пыталось получить доступ к сети, если компьютер использовался в качестве прокси-сервера, он мог просматривать запрос, отправленный приложением на сервер.
Эти запросы включают VIN — фактически, для идентификации номера автомобиля. Кроме того, он также может быть нанесен на лобовое стекло автомобиля. Это также доказывает что VIN-код автомобилей Nissan Leaf отличается только последней цифрой. Злоумышленник может вычислить его простым методом выбора.
Эта уязвимость опасна не только потому что с его помощью вы можете выращивать автомобильные аккумуляторы других людей. После подключения к Nissan Leaf злоумышленник может получить доступ к информации о недавних поездках, местонахождении транспортных средств, популярных маршрутах, статистике аккумуляторов и т. д. Все данные включаются в различные запросы.
Эксперты подчеркивают, что Nissan не предусмотрел никаких мер безопасности для проверки личности пользователей на обоих концах соединения. Хант уведомил Nissan об уязвимости 23 января, но компания не устранила ее.
Кстати, Nissan Leaf — самая популярная в Украине модель электромобиля. Об этом свидетельствует исследование компании ElectroCars.
