На этой неделе Nissan закрыл одно из своих приложений для смартфонов после того, как австралийский разработчик программного обеспечения обнаружил, что владельцы Leaf очень уязвимы для кражи данных и хакеров, контролирующих части их автомобилей.
Приложение NissanConnect EV, которое позволяет владельцам Leaf (и e-NV200) проверять состояние аккумулятора своего электромобиля, анализировать свои привычки вождения и активировать климат-контроль и зарядку аккумулятора, было отключено.
Разработчик Трой Хант подробно описал свои находки на своем веб-сайте; проблема, по сути, сводится к тому, что Nissan пренебрегает стандартной аутентификацией. Используя генератор VIN-кода для проверки доступности автомобилей, Хант обнаружил, что может получить доступ к удаленным функциям приложения — например, включить подогрев сидений своего друга в Норвегии на всем пути из Австралии — и может просматривать журналы своей истории вождения. Другие эксплойты включают в себя отключение процесса зарядки автомобиля или многократное включение кондиционера. Хотя Хант не мог просматривать личную информацию, такую как имена или адреса, или определять точное местонахождение автомобиля, он считал проблему достаточно серьезной, чтобы сообщить о ней в Nissan на следующий день. Это было больше месяца назад.
Сравнивая уязвимость Leaf с хакерами Jeep Cherokee, Хант написал, что она «хороша тем, что не влияет на управление автомобилем, но плоха тем, что легкость получения доступа к органам управления транспортным средством таким способом не дает многого». проще — это глубоко тривиально». По словам Ханта, Nissan отреагировал быстро, а представитель компании Стив Ягер сообщил нам, что скоро будет доступно обновленное приложение, хотя и отказался назвать конкретную дату. Функциональность приложения по-прежнему доступна в обычном веб-браузере.
«Никакие другие важные элементы управления Nissan Leaf или eNV200 не затронуты, и более 200,000 200 наших водителей LEAF и eNVXNUMX по всему миру могут продолжать безопасно и с полной уверенностью использовать свои автомобили», — написал Ягер. «Затронуты только те функции, которые управляются с помощью мобильного телефона, и все они по-прежнему доступны для использования вручную, как и в любом стандартном автомобиле».
Когда его спросили о более широкой услуге NissanConnect, которая предлагает удаленную разблокировку, дистанционный запуск, отслеживание транспортных средств и другие телематические функции, Йегер не ответил, ищет ли Nissan аналогичные дыры в безопасности.
Nissan, как и Fiat-Chrysler и General Motors до этого, чрезвычайно повезло столкнуться с этическими «белыми» хакерами, такими как Хант, которые исследуют слабые компьютерные системы, чтобы гнусные «черные» хакеры не обнаружили их первыми. Но до сих пор автопроизводители не продемонстрировали уверенности в блокировке такого сложного программного обеспечения, особенно тех, которые способны управлять транспортным средством по беспроводной сети.
«Поскольку производители автомобилей спешат присоединиться к повальному увлечению «интернетом вещей», безопасность не может быть чем-то второстепенным или чем-то, к чему, как нам говорят, они относятся серьезно после того, как осознали, что изначально не относились к этому достаточно серьезно», — сказал он. .
Этот контент импортируется из OpenWeb. Вы можете найти тот же контент в другом формате или найти дополнительную информацию на их веб-сайте.
