Nissan vypol diaľkové ovládanie vozidiel cez Internet, boli ovládateľné kýmkoľvek

Značky: dopravabezpečnosť

DSL.sk, 25.2.2016

Japonská automobilka Nissan približne deň po zverejnení informácií o vážnom zanedbaní bezpečnosti v jej riešení Nissan Connect pre vzdialený prístup a ovládanie elektromobilu Nissan Leaf túto službu vypla.

Vozidlá Nissan Leaf so zabudovanou konektivitou sa cez mobilnú sieť pripájajú na internetové servery služby a následne umožňujú majiteľom zisťovať informácie o vozidle respektíve ovládať pár základných funkcií cez mobilnú aplikáciu odkiaľkoľvek.

Ako sme ale detailne informovali vo včerajšom článku, podľa zistení bezpečnostného experta Troya Hunta webové API rozhranie služby využívané mobilnou aplikáciou umožňovalo zisťovať informácie o elektromobile Nissan Leaf a zapínať v ňom klimatizáciu respektíve kúrenie len so znalosťou jeho VIN čísla.

VIN čísla sú podobne ako u iných vozidiel ale prakticky verejnou informáciou, keď sú umiestnené za predným sklom viditeľne zvonku.

Ako zistil a overil Hunt so spolupracovníkmi, riešenie nemalo nasadený žiadny spôsob bezpečnej autentifikácie. K prístupu tak nebolo potrebné zneužiť ani žiadnu bezpečnostnú zraniteľnosť alebo chybu a riešeniu jednoducho chýbala bezpečnosť.

Informácie o uskutočnených cestách získané len pomocou VIN (obrázok: Troy Hunt)

Hunt konkrétne demonštroval zapnutie a vypnutie klimatizácie respektíve kúrenia, zistenie stavu nabíjania a zistenie histórie ciest vozidla. V histórii ciest sa nenachádzajú informácie o polohe, dostupné informácie a ovládateľné funkcie tak podľa doterajších zistení nie sú kritické a najvážnejším prípadom je zrejme možnosť zapnutia klimatizácie respektíve kúrenia. Útočník totiž môže ich zapínaním napríklad na noc míňať batériu vozidla.

Hunt informoval Nissan o probléme pred viac ako mesiacom. Keď na Internete identifikoval informácie o tomto zanedbaní aj od iných zdrojov a Nissan problém stále neodstránil, v stredu informácie zverejnil.

Demonštrácia zapnutia kúrenia v Nissane Leaf len na základe VIN-u (video: Troy Hunt)

Dnes Nissan podľa informácií Hunta službu vypol a vzdialený prístup tak prestal fungovať aj užívateľom aplikácie. Nissan v stanovisku pre BBC potvrdil, že problém sa týkal aj elektrickej dodávky Nissan eNV200.

Spoločnosť avizuje "veľmi skoré" sprístupnenie opravenej verzie služby a aplikácií.




Najnovšie články:



Diskusia:

konspiracia Od reg.: ´PPQ´ | Pridané: 25.2.2016 16:47 uz najali tipka ktory musi vsetky tie xmlka rucne vycentrovat! Odpovedať Známka: 1.4 Hodnotiť:

Re: konspiracia Od: Lenovo@ | Pridané: 25.2.2016 17:47 ...json Odpovedať Známka: 6.2 Hodnotiť:

Re: konspiracia Od: _rytmus | Pridané: 25.2.2016 18:41 netreba, lebo uz maju tvar deravej susky. Odpovedať Známka: 3.3 Hodnotiť:

WHATthigo Od reg.: whatthigo.sk | Pridané: 25.2.2016 17:09 Ale nooo, však im môže niekto zapnúť kúrenie pred odchodom, sa hodí v zime.... x( Odpovedať Známka: 4.4 Hodnotiť:

Haker Od: Škoda... | Pridané: 25.2.2016 18:24 A ja som to už chcel vyskúšať!Šoféri napr. v takom Nórsku by sa bežiacej klíme určite potešili... Odpovedať Známka: 5.5 Hodnotiť:

Re: Haker Od: Kokolin | Pridané: 26.2.2016 16:25 Nechcem rypat ale klima sa bezne pouziva aj v zime pri odhmlievani, resp. na odstranenie vlhkosti z interieru vozidla. Samozrejme nie v rezime chladenia. Vyskusaj Odpovedať Hodnotiť:

Re: Haker Od: Viemja | Pridané: 26.2.2016 17:52 Áno,ale bohužiaľ poznám jedného šoféra,ktorému beží nonstop,zima-leto.A potom plače,že mu kórejčan veľa papká...To s nórmi som myslel len ako srandu,ale díky za upresnenie,nabudúce vyskúšam... Odpovedať Hodnotiť:

Hačkovanie :D Od: ShadowHero | Pridané: 25.2.2016 22:00 Ked som spravne pochopil , zranitelnost bola cez API systemu Nissanu , Ked Nissan odstavil hlavny server , nazvyme to takto, tak utok by nemal bit realizovatelny . Predpokladam ze az taky tupci su neni ze tam je volna Java. Odpovedať Známka: 2.0 Hodnotiť:

Re: Hačkovanie :D Od: peter342 | Pridané: 26.2.2016 8:31 tupci su ti co chcu byt a skor by ich mali bit Odpovedať Známka: 3.3 Hodnotiť:

..... Od: Okres linux | Pridané: 26.2.2016 12:56 Pán priekazný, keď je nové keďže? Odpovedať Hodnotiť:

Pridať komentár