26 февраля 2016

[уязвимость] Самый популярный в мире электромобиль так легко взломать

Мы живем во время умных машин, скоро наступит тот день, когда на дороге появятся полностью автономные тачки. И тут невольно задаешься вопросом, а они вообще безопасны? Уж очень не хотелось бы стать живым свидетелем восстания машин.

Трой Хант (Troy Hunt) занимается вопросами безопасности, он выяснил, что самый популярный электромобиль Nissan Leaf очень легко взломать. Он получил удаленный доступ к машине другого специалиста, находясь в Австралии, тогда как второй проживает в Великобритании.

Для этого Ханту понадобилось фирменное приложение для Nissan Leaf. Программа NissanConnect EV помогает включить печку в салоне или кондиционер в удаленном режиме, кроме того через нее можно проверить уровень заряда аккумулятора и прочие статусные данные. Помимо приложения нужен серийный номер автомобиля (VIN), ну и щепотка волшебства знания того, как обойти систему.

Он использовал свой компьютер и отправлял с него команды на автомобиль. Проблема в том, что «общаться» с машиной подобным образом может каждый желающий.

Запросы выглядят вот таким образом:

GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21

Цифры после VIN — это уникальный набор данных для каждой машины. Его может увидеть любой желающий, они расположены на лобовом стекле автомобиля. А у машин Leaf в номере VIN отличаются только пять последних цифр, так что при желании можно подобрать данные методом простого подбора.

В принципе, угнать машину все равно не получится, разве что что побаловаться с климатической системой. Но пугает другое. Злоумышленник может увидеть разные данные: последние поездки, режим езды, как часто заряжаешься и тому подобные вещи. Все это помогает следить за людьми, которые могут ни о чем и не подозревать. Хорошо, что моя девятка-длинное крыло еще не подключена к интернету. :)

Источник