Hakerzy mogą zepsuć Twój Nissan Leaf z dowolnego miejsca na świecie

Droga do całkowicie elektrycznego, samobieżnego, wzajemnie połączonego transportu cudów będzie miała pewne niedogodności.

A chłopiec, Nissan Leaf właśnie trafił. Student ochrony cyfrowej odkrył błąd w systemie Nissana, który nie tylko pozwalał mu zdalnie sterować funkcjami w samochodzie, w sposób, w jaki Nissan nie zamierzał, ale mógł się połączyć Nissan Leafs innych ludzi i bałagan z ich samochodami. Błąd umożliwił mu włączanie i wyłączanie fanów, majstrowanie przy innych drobnych funkcjach, które może kontrolować towarzysząca aplikacja na smartfona, a także przeglądanie informacji i danych dotyczących prowadzenia innych osób. Fizyczne elementy sterujące mogą prawdopodobnie rozładować akumulator samochodu, pozostawiając kierowców na lodzie.

Uczeń natychmiast przekazał tę usterkę swojemu nauczycielowi, badaczowi bezpieczeństwa sieci i instruktorowi seminarium Troyowi Huntowi, który połączył siły z kolegą badaczem i właścicielem Leafem Scottem Helme, aby przetestować lukę bezpieczeństwa na wideo.

Błąd był stosunkowo prosty: usterka w programowaniu aplikacji pozwalała użytkownikom łączyć się ze swoimi samochodami online, anonimowo - to znaczy bez sprawdzania ich tożsamości jako właściciela samochodu, z którym się łączyli, poza numerem identyfikacyjnym pojazdu. Innymi słowy, gdybyś mógł otrzymać numer VIN, możesz kontrolować (części) swojego samochodu.

„Każdy może potencjalnie wyliczyć VIN i kontrolować funkcje fizyczne wszystkich pojazdów, które odpowiedziały. To był bardzo poważny problem - powiedział Hunt w swoim blogu o błędzie.

Hunt odczekał znaczną ilość czasu, zanim upublicznił robaka, dając Nissanowi czas na wprowadzenie poprawki, która jeszcze się nie wydarzyła.

„Zgłosiłem to do Nissana następnego dnia po tym, jak to odkryliśmy” - powiedział Hunt w poście. „Jednak od dziś - 32 dni później - problem pozostaje nierozwiązany”.

Kiedy Hunt, który mieszka w Australii, przetestował błąd z Helme, odkrył, że Hunt może kontrolować te same funkcje Helme's Leaf, zaparkowane na jego podjeździe w północnej Anglii, które mógł sam, za pośrednictwem swojej przeglądarki internetowej.

Oto pełny test wideo:

Mimo to, powiedziała Helme, może być gorzej.

„Na szczęście Nissan LEAF nie ma takich funkcji, jak zdalne odblokowanie lub zdalne uruchamianie, podobnie jak niektóre pojazdy innych producentów, ponieważ byłoby to katastrofą z powodu tego, co zostało odkryte”, powiedział Helme na blogu Hunta.

Inne połączone pojazdy, takie jak pojazdy GM wyposażone w OnStar, zostały narażone na znacznie bardziej niebezpieczne wady, w tym kontrolę silnika. Sławni hakerzy zdalnie zamknęli Jeepa za pomocą Przewodowy reporter w lipcu, a bug Nissana nie jest tak poważny. Nadal numery VIN nie są szczególnie trudne dla dedykowanego hakera do brutalnej siły i znalezienia, więc może być mądre, aby mieć oko na otwory wentylacyjne pod kątem oznak nielegalnej kontroli klimatu.