Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Hackowanie samochodu Nissan Leaf – przejął kontrolę nad klimatyzacją z drugiego końca świata
Znany badacz bezpieczeństwa – Troy Hunt – pokazał proste do wykorzystania podatności w dostępnym publicznie API autorstwa Nissana.
We wpisie „Controlling vehicle features of Nissan LEAFs across the globe via vulnerable APIs” – wskazuje w jaki sposób będąc przykładowo w Australii mógł włączyć / wyłączyć klimatyzację w samochodzie znajdującym się w… Wielkiej Brytanii.
Od strony technicznej, całość jest absurdalnie prosta do wykorzystania – okazuje się że dostępne publicznie (w Internecie) API uwierzytelnia swoich użytkowników jedynie… z wykorzystaniem numeru VIN samochodu (tak, tak – nie ma żadnego loginu, hasła, klucza, itp). Sam VIN można z kolei namierzyć z wykorzystaniem brute force (co też zostało pokazane w badaniu) albo inaczej, po prostu poszukać konkretnego zdjęcia w sieci:
Z kolei mając VIN, można spróbować requestu (normalnie, z poziomu przeglądarki webowej) dającego aktualny status konkretnego samochodu:
W ramach finalnego kroku Troy pokazał z wykorzystaniem ww. API kontrolowanie klimatyzacji w samochodzie znajomego na drugim końcu świata:
Aby być sprawiedliwym – sam Troy dodał że problem nie zagraża życiu użytkowników Nissana, choć osobiście jestem pełen obaw (co będzie gdy nagle zaktualizują firmware i dodadzą pewne 'nowe’ funkcje? Np. możliwość otwierania samochodu z poziomu aplikacji mobilnej – swoją drogą takie rozwiązanie już ogłosiło Volvo.)
–ms
Dla dociekliwych polecam artykuł: http://virantha.com/2016/01/12/reverse-engineering-nissan-connect-ev-protocol/
Z tym „nie zagraża”, również nie byłbym taki pewien. Jak myślicie, czy są rodzice, którzy zostawiają „na chwilę” swoje pociechy w aucie przy włączonej klimatyzacji? Wystarczy wyłączyć w upalny dzień i może dojść do nieprzyjemnych konsekwencji.
Za takie coś jest kryminał…
niby za co? za kontrolowane testy ze znajomym? ;)
Nissan since April 2016 has updated their API calls to actually use the user login information to authenticate instead of just the VIN