Новости Новости 26.02.2016 в 09:27 comment

Исследователь утверждает, что самый популярный в мире электромобиль Nissan Leaf можно легко взломать через интернет, используя незащищенные API

author avatar
https://itc.ua/wp-content/uploads/2022/04/vova-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/vova-96x96.jpeg *** https://itc.ua/wp-content/uploads/2022/04/vova-96x96.jpeg

Володимир Скрипін

Заместитель главного редактора, руководитель отдела новостей

Nissan-Leaf2

В нынешних условиях предстоящего распространения умных автомобилей, способных самостоятельно принимать сложные решения и полностью обходится без помощи водителя, проблемы безопасности, которые позволяют хакерам захватить контроль над транспортным средством, – худшее, что может произойти.

На днях специалист в области информационной безопасности Трой Хант опубликовал результаты исследования, проведенного с целью демонстрации беззащитности человечества перед атаками подобного рода.

В качестве примера для демонстрации несовершенства автомобильных систем безопасности исследователь выбрал самый популярный в мире электромобиль Nissan Leaf. Используя уязвимость в API, Ханту, находящемуся в Австралии, удалось удаленно получить доступ к электромобилю Nissan Leaf, принадлежащему другому исследователю из Великобритании – Скотту Хелме.

2016-nissan-leaf-exterior-pearl-whit

Для взлома Хант использовал официальное мобильное приложение Nissan Leaf, которое позволяет управлять некоторыми функциями автомобиля, например, включение обогрева/охлаждения салона, проверка уровня заряда аккумулятора и т.д., с помощью смартфона. Последнее, что было нужно для осуществления успешного взлома автомобиля, помимо приложения, – идентификационный номер транспортного средства и, естественно, навыки хакера.

Метод, используемый Хантом для взлома Nissan Leaf, принадлежащему Хелме, ранее был подробно описан неизвестным исследователем. Последнему удалось обнаружить, что используя компьютер в качестве прокси-сервера в момент, когда приложение пытается получить доступ к сети, можно просматривать запросы, отправленные приложением к серверу.

Эти запросы имеют следующий вид:

Курс QA Manual (Тестування ПЗ мануальне) від Powercode academy.
Навчіться знаходити помилки та контролювати якість сайтів та додатків.
Записатися на курс

GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21

Последние цифры в коде сразу после VIN – это уникальный набор данных для каждой машины. Он нанесен на лобовое стекло каждого автомобиля, так что при желании его может увидеть любой желающий.

Важно отметить, что используемый Хантом метод взлома позволяет захватить контроль только над климатической системой автомобиля, что в принципе не смертельно, хотя и приятного тут малость. Куда более серьезным поводом для беспокойства является то, что, подключившись к Nissan Leaf единожды, потенциальный хакер может получить доступ к информации о недавних поездках, местоположении автомобиля, статистику разряда батареи и ее состояния, а также прочие данные, которые могут быть использованы для отслеживания перемещения и точного определения привычных маршрутов.

Самое неприятное в этой истории, что Nissan не предусмотрел никаких мер защиты для проверки личности пользователя ни на одном из концов соединения.

Напоследок еще один интересный факт, который говорит не в пользу Nissan. Дело в том, что VIN-коды всех автомобилей Nissan Leaf отличаются только последними пятью-шестью цифрами, так что злоумышленники могут выяснить идентификационный номер любого Nissan Leaf даже без визуального контакта – методом простого подбора.

Курс QA Manual (Тестування ПЗ мануальне) від Powercode academy.
Навчіться знаходити помилки та контролювати якість сайтів та додатків.
Записатися на курс

Источник: TNW

Продолжается конкурс авторов ИТС. Напиши статью о развитии игр, гейминг и игровые девайсы и выигрывай профессиональный игровой руль Logitech G923 Racing Wheel, или одну из низкопрофильных игровых клавиатур Logitech G815 LIGHTSYNC RGB Mechanical Gaming Keyboard!


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: