Эксперт рассказал, как взломать Nissan Leaf

26 Февраль, 2016 — ИТ: железо

Эксперт по кибер-безопасности Трой Хант обнаружил уязвимость в системе удаленного доступа к самому популярному в Украине электромобилю Nissan Leaf. Для управления некоторыми функциями автомобиля при помощи мобильного телефона достаточно узнать его идентификационный номер, что сделать совсем не сложно.

Эксперт рассказал, как взломать Nissan Leaf

pixabay.com


Один из посетителей мастер-класса Ханта по безопасности, который владеет Nissan Leaf, заметил, что iOS-приложение, позволяющее управлять электромобилем удаленно, использует для аутентификации пользователя только идентификационный номер автомобиля, сообщает Ain.ua. То есть, зная его, можно получить контроль над системой кондиционирования и получать информацию об уровне электрического заряда.

Проанализировав API, Хант подтвердил, что уязвимость позволяет «посадить» батарею электрокара удаленно. Вместе с коллегой Скоттом Хелме они провели эксперимент и продемонстрировали, как, зная идентификационный номер машины, можно включить систему кондиционирования и постепенно исчерпать заряд аккумулятора припаркованного авто. Он также уточнил, что ошибка в API не позволяет получить контроль над двигателем или открывать-закрывать двери.

Однако вышеупомянутый посетитель семинара Ханта, который не пожелал назваться, пошел дальше. Он обнаружил, что если использовать компьютер как прокси-сервер в момент, когда приложение по управлению электрокаром пытается получить доступ к сети, можно просматривать запросы, отправленные приложением к серверу.

В этих запросах содержится VIN – собственно, идентификационный номер автомобиля. Кроме того, он может быть нанесен на лобовое стекло машины. Также выяснилось, что VIN-коды автомобилей Nissan Leaf отличаются лишь последними цифрами, и злоумышленники могут вычислить их методом простого подбора.

Уязвимость опасна не только тем, то с ее помощью можно посадить аккумулятор чужой машины. Подключившись к Nissan Leaf единожды, злоумышленник может получить доступ к информации о недавних поездках, местоположении автомобиля, популярных маршрутах, статистике состояния батареи и т.д. Все данные содержатся в разных запросах.

Эксперт подчеркнул, что автопроизводитель не предусмотрел никаких мер защиты для проверки личности пользователя ни на одном из концов соединения. Хант уведомил Nissan об уязвимости 23 января, но компания пока ее не исправила.


tags Nissan Leaf, уязвимость, взлом, удаленный доступ, смартфон, приложение, аккумулятор, батарея, электромобиль


  

Читайте так же:


Xiaomi выпустила смарт-гитару и назвала ее Populele

Xiaomi выпустила смарт-гитару и назвала ее Populele

15 Февраль, 2017

Xiaomi начала осваивать производство музыкальных инструментов. Компания анонсировала выпуск «умной» гавайской гитары, способной самообучаться. Название новинки созвучно с названием самого инструмента — Populele.

LuminAID: на Kickstarter собраны деньги на производство надувных фонарей

LuminAID: на Kickstarter собраны деньги на производство надувных фонарей

14 Февраль, 2017

На Kickstarter успешно завершился сбор средств на создание надувных фонарей, которые могут заряжаться от солнечного света. При помощи устройства также можно зарядить мобильный телефон.

Huawei представит защищенные телефоны

Huawei представит защищенные телефоны

13 Февраль, 2017

Кнопочные телефоны от Huawei получили аккумуляторы повышенной емкости и отличаются весьма прочным корпусом. Местный регулятор TENAA уже представил описание их характеристик.

1000 кадров в секунду: Sony выпустила новый сенсор для камеры

1000 кадров в секунду: Sony выпустила новый сенсор для камеры

9 Февраль, 2017

Инженеры Sony разработали новый сенсор для камеры, позволяющий снимать видео со скоростью в 1000 кадров в секунду. Устройство позволяет вести фотосъемку с очень маленькой выдержкой.

WPG объявила о создании первого в мире графенового аккумулятора

WPG объявила о создании первого в мире графенового аккумулятора

8 Февраль, 2017

Первопроходцем выступила компания Huawei, представившая аккумулятор с добавлением графена. Сейчас же небольшой стартап WPG запустил кампанию по сбору средств на Kickstarter, чтобы выпустить АКБ с «внутренностями» графена.