Két biztonsági kutató, Scott Helme és Troy Hunt bemutatta, hogy milyen egyszerű bárkinek, aki ismeri a Leaf alvázszámát, átvenni az uralmat a kisautó bizonyos berendezései, konkrétan a fűtő- és légkondicionáló rendszerei felett az interneten keresztül.
Troy Hunt felfedte azt is, hogy van egy hiba a jármű társ alkalmazásában is, amelyet kihasználva kikémlelhetőek a jármű által megtett korábbi útvonalak. A hack ráadásul a világ bármely részéről végrehajtható.
A Nissan elkészítette az alkalmazást Apple és androidos eszközökre is a Leaf-tulajdonosok számára. A NissanConnect nevű alkalmazással az alábbiak ellenőrizhetőek:
- Az akkumulátorok állapota,
- töltés megkezdése
- töltés befejezése,
- becsült hatótávolság
- a klíma ki- és bekapcsolása.
A kutatók rájöttek, hogy az alkalmazás által használt API nyitott, nem hitelesített és könnyedén manipulálható.
Minden Nissan Leaf alvázszáma a “SJNFAAZE0U60” karaktersorozattal kezdődik, és csak az utolsó 5 karakter egyedi. Az API eléréséhez a hackernek ismernie kell a teljes alvázszámot. Ez rendszerint megtalálható a szélvédőn, ami egyszerűsíti a dolgot.
A támadáshoz a hackereknek még csak nem is kell használniuk a hivatalos alkalmazást. A parancsokat webböngészőn keresztül is el tudják küldeni. A probléma megerősítéséhez az ausztráliai Hunt egy angliai ismerőse Nissan Leafjének az alvázszámát használta fel.
Hung elismerte, hogy a hiba nem életveszélyes, de a hackerek a NissanConnect alkalmazás sérülékenységét kihasználva könnyen lemeríthetik a járművek akkumulátorát.
Hunt értesítette a felfedezésről a Nissant, és adott egy hónapot a cégnek a hiba orvoslásához, mielőtt publikálta volna az esetet. Mostanáig azonban nem foltozták be a rést. Hunt szerint az autótulajdonosok úgy védhetik meg magukat, hogy megszüntetik Nissan CarWings fiókjukat. Akik még nem regisztráltak, őket nem érinti a dolog.
Forrás: TechWorm
