Hackowanie samochodu Nissan Leaf – przejął kontrolę nad klimatyzacją z drugiego końca świata

Znany badacz bezpieczeństwa – Troy Hunt – pokazał proste do wykorzystania podatności w dostępnym publicznie API autorstwa Nissana.

We wpisie „Controlling vehicle features of Nissan LEAFs across the globe via vulnerable APIs” – wskazuje w jaki sposób będąc przykładowo w Australii mógł włączyć / wyłączyć klimatyzację w samochodzie znajdującym się w… Wielkiej Brytanii.

Od strony technicznej, całość jest absurdalnie prosta do wykorzystania – okazuje się że dostępne publicznie (w Internecie) API uwierzytelnia swoich użytkowników jedynie… z wykorzystaniem numeru VIN samochodu (tak, tak – nie ma żadnego loginu, hasła, klucza, itp). Sam VIN  można z kolei namierzyć z wykorzystaniem brute force (co też zostało pokazane w badaniu) albo inaczej, po prostu poszukać konkretnego zdjęcia w sieci:

Przykład VIN

Z kolei mając VIN, można spróbować requestu (normalnie, z poziomu przeglądarki webowej) dającego aktualny status konkretnego samochodu:

W ramach finalnego kroku Troy pokazał z wykorzystaniem ww. API kontrolowanie klimatyzacji w samochodzie znajomego na drugim końcu świata:

Aby być sprawiedliwym – sam Troy dodał że problem nie zagraża życiu użytkowników Nissana, choć osobiście jestem pełen obaw (co będzie gdy nagle zaktualizują firmware i dodadzą pewne 'nowe’ funkcje? Np. możliwość otwierania samochodu z poziomu aplikacji mobilnej – swoją drogą takie rozwiązanie już ogłosiło Volvo.)

–ms