Un expert în securitate cibernetică a găsit o modalitate de a controla orice Nissan Leaf, cel mai popular vehicul electric din lume. Vulnerabilitatea, descoperită de expert Troy Hunt, permite oricui să preia controlul asupra sistemelor de aer condiționat și de încălzire ale oricărui Leaf – și chiar oferă acces la istoricul călătoriei mașinii. Potrivit lui Hunt, hack-ul a fost făcut de la distanță prin intermediul Aplicația NissanConnect EV și i-a permis să preia controlul asupra frunzelor altor oameni din cealaltă parte a lumii.
Cum functioneazã?
La fel ca multe alte vehicule electrice, Nissan Leaf folosește o aplicație omoloagă pentru a vă afișa obiceiurile de condus, nivelurile de încărcare și ecologia generală, dar permite și precondiționarea. Mai simplu spus, precondiționarea vă permite să controlați elementele mașinii de la distanță, în timp ce se încarcă. În acest fel, puteți face lucruri precum încălzirea cabinei în timp ce mașina încă se încarcă, economisind prețioasa durata de viață a bateriei pentru conducere.
Hunt spune că avea nevoie doar de un VIN (număr de identificare a vehiculului) pentru a avea acces la această zonă prin intermediul aplicației. „Nu este că au făcut autorizarea [pe aplicație] prost, pur și simplu nu au făcut-o deloc, ceea ce este bizar”, a spus el pentru BBC. Primele caractere ale VIN-ului unei mașini se referă la marcă, model și țara de origine, așa că numai ultimele numere ar distinge fiecare Leaf.
„În mod normal, doar ultimele cinci cifre diferă”, a spus Hunt pentru BBC. „Nu există nimic care să împiedice pe cineva să scrie un proces care trece prin fiecare 100.000 de mașini posibile și încearcă să pornească aerul condiționat în fiecare
Într-un videoclip, Troy Hunt este prezentat controlând aceste funcții de la distanță prin intermediul API-ului aplicației NissanConnect EV și este prezentat, de asemenea, testând teoria de la distanță cu Leaf-ul unui prieten în Marea Britanie. Interesant, se pare că un hacker ar putea folosi chiar și un browser web pentru a accesa vulnerabilitatea.
„În timp ce vorbeam cu Troy pe Skype, el a lipit adresa web în browserul său și apoi, poate zece secunde mai târziu, am auzit un bip intern în mașină.” Scott Helme, un consilier de securitate cibernetică, a declarat pentru BBC.
„Scaunul încălzit s-a pornit apoi, volanul încălzit s-a pornit. Și am auzit ventilatoarele învârtindu-se și unitatea de aer condiționat pornind.”
Este periculos?
Nu în mod deosebit. Troy Hunt spune că i-a dat lui Nissan o lună pentru a remedia problema, iar astăzi se pare că compania a dezactivat serviciul NissanConnect EV – dar nu a reprezentat un risc imediat. În cel mai rău caz, hackerii ar putea să acceseze unitatea de curent alternativ a unui Leaf și să facă interiorul fie cu adevărat cald, fie foarte rece - potențial descărcarea bateriei în acest proces. În plus, hack-ul nu funcționează când mașina este în mișcare.
După cum spune Hunt: „Este ca și cum ai putea porni motorul într-o mașină pe benzină pentru a rula AC, va începe să consume combustibilul pe care îl ai în rezervor. Dacă mașina ta este parcată pe drum peste noapte sau la serviciu timp de zece ore și este lăsată să funcționeze, s-ar putea să-ți rămână foarte puțin combustibil când te întorci la ea... Ai rămâne blocat.”
În același timp, aceștia ar avea, de asemenea, acces la istoricul călătoriei tale și la statisticile ecologice, care, deși sunt deranjante, palidează în comparație cu hackurile recente ale mașinilor.
După cum scrie Hunt pe blogul său: „Eueste o altă clasă de vulnerabilitate la șmecheriile de hacking de Jeep Charlie Miller și Chris Valasek de anul trecut, dar atât în sensul bun cât și în cel rău. Bine prin faptul că nu are impact comenzile de conducere a vehiculului, dar rău prin faptul că ușurința de a obține acces la comenzile vehiculului în acest mod nu devine mult mai ușoară - este profund banal.” Hunt a mai descoperit că, de îndată ce prietenul său a deconectat aplicația de la Nissan Leaf, aceasta nu mai era piratabil.
Răspunsul Nissan
Am cerut lui Nissan o declarație cu privire la problemele actuale și ne-au spus următoarele:
„Aplicația NissanConnect EV (numită anterior CarWings și este folosită pentru Nissan LEAF și eNV200) nu este disponibilă în prezent. Aceasta urmează informații de la un consultant IT independent și investigația internă Nissan ulterioară care a găsit-o dedicată serverul pentru aplicație a avut o problemă care a permis ca controlul temperaturii și alte funcții telematice să fie accesibile printr-un sistem nesecurizat. traseu.
Nu sunt afectate alte elemente critice de conducere ale Nissan LEAF sau eNV200, iar peste 200.000 Șoferii LEAF și eNV200 din întreaga lume pot continua să-și folosească mașinile în siguranță și cu totalitate încredere. Singurele funcții care sunt afectate sunt cele controlate prin telefonul mobil – toate fiind încă disponibile pentru a fi utilizate manual, ca în cazul oricărui vehicul standard.
Ne cerem scuze pentru dezamăgirea cauzată clienților noștri Nissan LEAF și eNV200 care s-au bucurat de beneficiile aplicațiilor noastre mobile. Cu toate acestea, calitatea și funcționarea perfectă a produselor noastre este primordială.
Așteptăm cu nerăbdare să lansăm versiuni actualizate ale aplicațiilor noastre foarte curând.”
Securitatea aplicației
Hackul ar trebui să vină ca un alt semn de avertizare pentru producătorii de mașini. În timp ce integrarea aplicațiilor precum serviciul NissanConnectEV reprezintă un pas important înainte pentru mașini, producătorii trebuie să se asigure că respectă aceleași standarde de securitate pe care le așteptăm de la celelalte aplicații pe care le avem utilizare. Întrucât companii precum Volvo speră deja să înlocuiască cheile mașinii și Nissan caută să intensifice integrarea aplicației auto, aceste probleme de securitate trebuie rezolvate cât mai curând posibil.
Citește în continuare: Tot ce trebuie să știți despre Tesla Model 3
