U minimálne časti elektromobilov Nissan Leaf s integrovanou funkčnosťou Nissan Connect internetovej konektivity bola výrazne zanedbaná bezpečnosť a útočníci tak jednoducho môžu pristupovať k viacerým dátam ale tiež ovládať jednu z funkcií cez Internet.
Vyplýva to zo zistení bezpečnostného experta Troya Hunta.
Vozidlá Nissan Leaf so zabudovanou konektivitou sa cez mobilnú sieť pripájajú na internetové servery služby a následne umožňujú majiteľom realizovať základné ovládanie a zisťovať informácie o vozidle cez mobilnú aplikáciu odkiaľkoľvek.
Podľa analýzy komunikácie medzi aplikáciou a servermi od Hunta aj ďalších užívateľov sa ale aplikácia identifikuje serverom len VIN číslom vozidla a žiadnym spôsobom sa bezpečne neautentifikuje. So znalosťou VIN čísla tak môžu útočníci cez Internet realizovať činnosti, ktoré je možné realizovať pomocou aplikácie.
VIN čísla sú podobne ako u iných vozidiel prakticky verejnou informáciou, keď sú umiestnené za predným sklom viditeľne zvonku.
Informácie o uskutočnených cestách získané len pomocou VIN (obrázok: Troy Hunt)
Hunt konkrétne demonštroval zapnutie a vypnutie klimatizácie respektíve kúrenia, zistenie stavu nabíjania a zistenie histórie ciest vozidla.
V histórii ciest sa nenachádzajú informácie o polohe, dostupné informácie a ovládateľné funkcie tak podľa doterajších zistení nie sú kritické a najvážnejším prípadom je zrejme možnosť zapnutia klimatizácie respektíve kúrenia. Útočník totiž môže ich zapínaním napríklad na noc míňať batériu vozidla.
Demonštrácia zapnutia kúrenia v Nissane Leaf len na základe VIN-u (video: Troy Hunt)
Ktoré všetky vozidlá trpia takýmito slabinami nie je jasné, keď aplikácia podľa zistení Troya využíva v rozličných krajinách mierne odlišné API. Troy respektíve jeho spolupracovníci ale úspešne odskúšali problém na jednom vozidle v Nórsku a jednom vo Veľkej Británii, pričom podľa informácií ďalšieho užívateľa sú na tom rovnako v Kanade.
Prístupu k dátam cez Internet je v súčasnosti možné zabrániť len deaktivovaním funkčnosti konektivity auta na stránkach služby Nissan CarWings, čím zrejme užívateľ stratí možnosť využívať dostupné funkcie vzdialeného prístupu aj cez oficiálnu aplikáciu.
Nissan podľa informácií Troya reagoval najskôr promptne, keď ale boli nezávisle zverejnené informácie o tomto probléme a Nissan ho zatiaľ neodstránil, po viac ako štyroch týždňoch od nahlásenia informácie dnes zverejnil. Nissan do novej generácie Leaf zároveň pripravuje ďalšie funkcie dostupné z aplikácie, napríklad aj zistenie polohy vozidla.
Možnosť sledovania polohy je už samozrejme závažným problémom. Či Nissan nedostatky odstráni do sprístupnenia novej verzie s touto funkčnosťou zatiaľ spoločnosť nepotvrdila.
Nissan je ďalšou z radu značiek, ktoré mali v poslednom období problémy s bezpečnosťou integrovaných systémov pripájajúcich sa na Internet. Problémy boli identifikované napríklad u vozidiel automobiliek BMW, Fiat Chrysler, GM a problémy s nedostatočne bezpečnými štandardnými nastaveniami WiFi mala aj Škoda.
ja si myslim, ze je za tym bud homosexualita, alebo nariadenie vlad.
pretoze ja, co som vyrastal ako IT maniak, psychopat a IT-"fil" som ostro proti povinnej internetizacii cohokolvek, ci uz mixer, alebo vozidlo.
Dufam, ze nakladiaky nad 3 a pol tony nikdy nebudu mat internet, lebo stratit kontrolu nad 40-60t kamionom,to by moholo mat velmi zaujimave nasledky, nech sa to stane kdekolvek (od dialnice smer BA rano o 7:30 v pondelok az po skolu, ktora si objednala kamion na stavbu telocvicne), pripadne nejake elektrarne.
Mam rad modernu techniku, ovladanie cez "dialku", ale som odporca kombinacie webkamery s internetom, z principu.
Cize je za tym predovsetkym marketing, na gayov, alebo co..
Re: Always
Od: Doktor vied
|
Pridané:
24.2.2016 21:35
Vedecky a klinicky je dokazane, ze ten, kto casto hovori o buzerantoch sam buzerant je a nie vzdy si to musi uplne uvedomit. Dokazane psychiatrickymi postupmi. Z tohto vyplyva, ze si buzerant, takisto je vo vlade vela buzerantov a jeden buzerant z Bystrice tiez kandiduje.
Na tento jav existuje aj celkom blizke prislovie - hladny o chlebe. Ten kto stale spomina buzerantov urcite k nim aj ked nevedome inklinuje.
Prispievajte do diskusií ako prihlásený užívateľ.
Od: gertrudo
|
Pridané:
24.2.2016 21:06
Stale je videt ze vyrobcovia aut nie su velmi dobri vyvojari, a stale beru soft ako nutnost(lebo to maju vsetci) nie ako prilezitost.
Potom to takto dopadne.
Ked si vezmem ze v podstate vsetko sa da naburat, tak tie autonomne auta budu castym cielom.
Nebudu sutaze v hacknuti net prehliadacov ale v tom kto co najrychlejsie ovladne nejake auto.
To je sila
Od: Komentátor
|
Pridané:
24.2.2016 21:32
Nechápem ako je možné že firma ako Nissan, obrovská a s kopou peňazí ... si nechá urobiť softvér do auta, ktorý dovolí komukoľvek *anonymne* získať o ňom cez internet informácie a čiastočne ho ovládať. Ich manažéri musia byť úplne mimo a podľa mňa nemajú ani šajnu čo za softvér v ich autách beží. A firme / programátorom ktorí to robili je to zjavne ukradnuté tiež.
Re: To je sila
Od reg.: pocitujlasku
|
Pridané:
25.2.2016 10:20
odkedy sa dal dokopy Nissan a kosostvorec, tak nissany idu kvalitou dole. Sam mam "starceka" r.v. 2000 a stale ma udivuje co vsetko tam uz v tej dobe bolo a ako su vyladene detaily.
Tesly sú na tom tak že aj keby sa nejaká chyba objavila tak ti ju Musk príde do 24 hodín sám nahodiť do tvojej Tesly a ty si už iba prídeš po hotový papier
... je hovadina, ktorú bežný používateľ využije raz za dobu, pokiaľ auto vlastní - keď sa s tým bude baviť a skúšať to. Zlodej túto funkcionalitu bude využívať denne, nakoľko ho bude živiť :) Čiže funkcia, ktorej pridaná hodnota = 0 a ktorej rizikový faktor = 100%. Budú vydávať záplaty a záplaty na záplaty, ale bude to na nič :(
Vozidlo prístupné cez internet
Od: Si Vycentroval
|
Pridané:
25.2.2016 15:52
Je dobré mať vozidlo kedykoľvek prístupné cez internet. Človek napríklad zabudne vycentrovať a problém bez vozidlo dostupného hocikomu je na svete. Pri najhoršom mi auto niekto vycentruje, alebo aspoň napíše, že sa mu nedá vycentrovať :)
neprihlásený 
