Хакеры могут испортить ваш лист Nissan из любой точки мира

Дорога к полностью электрифицированной, самодвижущейся, взаимосвязанной транспортной стране чудес будет иметь некоторые скорости.

И мальчик, Nissan Leaf только что ударил одного. Студент по цифровой безопасности обнаружил ошибку в системе Nissan, которая не только позволяла ему управлять функциями на своем автомобиле, как это не предполагалось Nissan, но и могла подключаться к нему. Nissan Leafs других людей и возиться со своими машинами. Ошибка позволила ему включать и выключать вентиляторы, работать с другими мелкими функциями, которыми может управлять приложение-смартфон для смартфонов, а также просматривать информацию и данные вождения других людей. Физические средства управления могли предположительно разряжать автомобильный аккумулятор, оставляя водителей в затруднительном положении.

Студент немедленно передал сообщение своему учителю, исследователю веб-безопасности и инструктору семинара Трое Хунту, который объединился с коллегой-исследователем и владельцем Leaf Скоттом Хелме, чтобы проверить пробел в безопасности на видео.

Ошибка была относительно простой: сбой в программировании приложения позволял пользователям подключаться к своим автомобилям в режиме онлайн, анонимно, то есть без подтверждения своей личности владельца автомобиля, к которому они подключались, вне идентификационного номера транспортного средства. Другими словами, если бы вы могли получить чей-то VIN, вы могли бы контролировать (части) его автомобиль.

«Любой может потенциально перечислить VIN и контролировать физическую функцию любых транспортных средств, которые ответили. Это была очень серьезная проблема », - сказал Хант в своем блоге об ошибке.

Хант подождал немало времени, прежде чем обнародовать ошибку, предоставив Nissan время для исправления, которое еще не произошло.

«Я сообщил об этом Nissan на следующий день после того, как мы обнаружили это», - сказал Хант в своем сообщении. «Тем не менее, на сегодняшний день - 32 дня спустя - проблема остается нерешенной».

Когда Хант, который живет в Австралии, проверил ошибку с Хельме, они обнаружили, что Хант может контролировать те же функции Leaf Helme, припаркованных на его дороге в Северной Англии, что и он сам, через свой интернет-браузер.

Вот полный тест на видео:

Тем не менее, сказал Хельме, могло быть и хуже.

«К счастью, у Nissan LEAF нет таких функций, как дистанционная разблокировка или дистанционный запуск, как у некоторых автомобилей других производителей, потому что это будет катастрофой с тем, что было обнаружено», - сказал Хельме в своем блоге Ханта.

Другие взаимосвязанные транспортные средства, такие как автомобили GM, оснащенные OnStar, были подвержены гораздо более опасным дефектам, включая управление двигателем. Хакеры лихо смогли удаленно отключить джип с Проводная репортер внутри еще в июле, и ошибка Nissan не так серьезна. Тем не менее, выделенные VIN-номера не представляют особой сложности для хакера, чтобы найти его и найти, поэтому, возможно, было бы разумно следить за вентиляционными отверстиями на предмет признаков незаконного контроля климата.