Hackowanie samochodu Nissan Leaf – przejął kontrolę nad klimatyzacją z drugiego końca świata

24 lutego 2016, 22:12 | Aktualności | komentarzy 5
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Znany badacz bezpieczeństwa – Troy Hunt – pokazał proste do wykorzystania podatności w dostępnym publicznie API autorstwa Nissana.

We wpisie „Controlling vehicle features of Nissan LEAFs across the globe via vulnerable APIs” – wskazuje w jaki sposób będąc przykładowo w Australii mógł włączyć / wyłączyć klimatyzację w samochodzie znajdującym się w… Wielkiej Brytanii.

leaf

Od strony technicznej, całość jest absurdalnie prosta do wykorzystania – okazuje się że dostępne publicznie (w Internecie) API uwierzytelnia swoich użytkowników jedynie… z wykorzystaniem numeru VIN samochodu (tak, tak – nie ma żadnego loginu, hasła, klucza, itp). Sam VIN  można z kolei namierzyć z wykorzystaniem brute force (co też zostało pokazane w badaniu) albo inaczej, po prostu poszukać konkretnego zdjęcia w sieci:

Przykład VIN

Przykład VIN

Z kolei mając VIN, można spróbować requestu (normalnie, z poziomu przeglądarki webowej) dającego aktualny status konkretnego samochodu:

GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=[…]

image5

W ramach finalnego kroku Troy pokazał z wykorzystaniem ww. API kontrolowanie klimatyzacji w samochodzie znajomego na drugim końcu świata:

Aby być sprawiedliwym – sam Troy dodał że problem nie zagraża życiu użytkowników Nissana, choć osobiście jestem pełen obaw (co będzie gdy nagle zaktualizują firmware i dodadzą pewne ‚nowe’ funkcje? Np. możliwość otwierania samochodu z poziomu aplikacji mobilnej – swoją drogą takie rozwiązanie już ogłosiło Volvo.)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. R.E.M
    Odpowiedz
  2. Dżon

    Z tym „nie zagraża”, również nie byłbym taki pewien. Jak myślicie, czy są rodzice, którzy zostawiają „na chwilę” swoje pociechy w aucie przy włączonej klimatyzacji? Wystarczy wyłączyć w upalny dzień i może dojść do nieprzyjemnych konsekwencji.

    Odpowiedz
    • kcroot

      Za takie coś jest kryminał…

      Odpowiedz
      • niby za co? za kontrolowane testy ze znajomym? ;)

        Odpowiedz
  3. Daro

    Nissan since April 2016 has updated their API calls to actually use the user login information to authenticate instead of just the VIN

    Odpowiedz

Odpowiedz