пятница, 26 февраля 2016 г.

Исследователь утверждает, что самый популярный в мире электромобиль Nissan Leaf можно легко взломать через интернет, используя незащищенные API

Nissan-Leaf2

В нынешних условиях предстоящего распространения умных автомобилей, способных самостоятельно принимать сложные решения и полностью обходится без помощи водителя, проблемы безопасности, которые позволяют хакерам захватить контроль над транспортным средством, – худшее, что может произойти.

На днях специалист в области информационной безопасности Трой Хант опубликовал результаты исследования, проведенного с целью демонстрации беззащитности человечества перед атаками подобного рода.

В качестве примера для демонстрации несовершенства автомобильных систем безопасности исследователь выбрал самый популярный в мире электромобиль Nissan Leaf. Используя уязвимость в API, Ханту, находящемуся в Австралии, удалось удаленно получить доступ к электромобилю Nissan Leaf, принадлежащему другому исследователю из Великобритании – Скотту Хелме.

2016-nissan-leaf-exterior-pearl-whit

Для взлома Хант использовал официальное мобильное приложение Nissan Leaf, которое позволяет управлять некоторыми функциями автомобиля, например, включение обогрева/охлаждения салона, проверка уровня заряда аккумулятора и т.д., с помощью смартфона. Последнее, что было нужно для осуществления успешного взлома автомобиля, помимо приложения, – идентификационный номер транспортного средства и, естественно, навыки хакера.

Метод, используемый Хантом для взлома Nissan Leaf, принадлежащему Хелме, ранее был подробно описан неизвестным исследователем. Последнему удалось обнаружить, что используя компьютер в качестве прокси-сервера в момент, когда приложение пытается получить доступ к сети, можно просматривать запросы, отправленные приложением к серверу.

Эти запросы имеют следующий вид:

GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21

Последние цифры в коде сразу после VIN – это уникальный набор данных для каждой машины. Он нанесен на лобовое стекло каждого автомобиля, так что при желании его может увидеть любой желающий.

Важно отметить, что используемый Хантом метод взлома позволяет захватить контроль только над климатической системой автомобиля, что в принципе не смертельно, хотя и приятного тут малость. Куда более серьезным поводом для беспокойства является то, что, подключившись к Nissan Leaf единожды, потенциальный хакер может получить доступ к информации о недавних поездках, местоположении автомобиля, статистику разряда батареи и ее состояния, а также прочие данные, которые могут быть использованы для отслеживания перемещения и точного определения привычных маршрутов.

Самое неприятное в этой истории, что Nissan не предусмотрел никаких мер защиты для проверки личности пользователя ни на одном из концов соединения.

Напоследок еще один интересный факт, который говорит не в пользу Nissan. Дело в том, что VIN-коды всех автомобилей Nissan Leaf отличаются только последними пятью-шестью цифрами, так что злоумышленники могут выяснить идентификационный номер любого Nissan Leaf даже без визуального контакта – методом простого подбора.

Источник: TNW

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.