Nissan Leaf можно легко взломать через интернет, используя незащищенные API
В нынешних условиях предстоящего распространения умных автомобилей, способных самостоятельно принимать сложные решения и полностью обходится без помощи водителя, проблемы безопасности, которые позволяют хакерам захватить контроль над транспортным средством, – худшее, что может произойти.
На днях специалист в области информационной безопасности Трой Хант опубликовал результаты исследования, проведенного с целью демонстрации беззащитности человечества перед атаками подобного рода.
В качестве примера для демонстрации несовершенства автомобильных систем безопасности исследователь выбрал самый популярный в мире электромобиль Nissan Leaf. Используя уязвимость в API, Ханту, находящемуся в Австралии, удалось удаленно получить доступ к электромобилю Nissan Leaf, принадлежащему другому исследователю из Великобритании – Скотту Хелме.
Для взлома Хант использовал официальное мобильное приложение Nissan Leaf, которое позволяет управлять некоторыми функциями автомобиля, например, включение обогрева/охлаждения салона, проверка уровня заряда аккумулятора и т.д., с помощью смартфона. Последнее, что было нужно для осуществления успешного взлома автомобиля, помимо приложения, – идентификационный номер транспортного средства и, естественно, навыки хакера.
Метод, используемый Хантом для взлома Nissan Leaf, принадлежащему Хелме, ранее был подробно описан неизвестным исследователем. Последнему удалось обнаружить, что используя компьютер в качестве прокси-сервера в момент, когда приложение пытается получить доступ к сети, можно просматривать запросы, отправленные приложением к серверу.
Последние цифры в коде сразу после VIN – это уникальный набор данных для каждой машины. Он нанесен на лобовое стекло каждого автомобиля, так что при желании его может увидеть любой желающий.
Важно отметить, что используемый Хантом метод взлома позволяет захватить контроль только над климатической системой автомобиля, что в принципе не смертельно, хотя и приятного тут малость. Куда более серьезным поводом для беспокойства является то, что, подключившись к Nissan Leaf единожды, потенциальный хакер может получить доступ к информации о недавних поездках, местоположении автомобиля, статистику разряда батареи и ее состояния, а также прочие данные, которые могут быть использованы для отслеживания перемещения и точного определения привычных маршрутов.
Самое неприятное в этой истории, что Nissan не предусмотрел никаких мер защиты для проверки личности пользователя ни на одном из концов соединения.
Напоследок еще один интересный факт, который говорит не в пользу Nissan. Дело в том, что VIN-коды всех автомобилей Nissan Leaf отличаются только последними пятью-шестью цифрами, так что злоумышленники могут выяснить идентификационный номер любого Nissan Leaf даже без визуального контакта – методом простого подбора.
На днях специалист в области информационной безопасности Трой Хант опубликовал результаты исследования, проведенного с целью демонстрации беззащитности человечества перед атаками подобного рода.
В качестве примера для демонстрации несовершенства автомобильных систем безопасности исследователь выбрал самый популярный в мире электромобиль Nissan Leaf. Используя уязвимость в API, Ханту, находящемуся в Австралии, удалось удаленно получить доступ к электромобилю Nissan Leaf, принадлежащему другому исследователю из Великобритании – Скотту Хелме.
Для взлома Хант использовал официальное мобильное приложение Nissan Leaf, которое позволяет управлять некоторыми функциями автомобиля, например, включение обогрева/охлаждения салона, проверка уровня заряда аккумулятора и т.д., с помощью смартфона. Последнее, что было нужно для осуществления успешного взлома автомобиля, помимо приложения, – идентификационный номер транспортного средства и, естественно, навыки хакера.
Метод, используемый Хантом для взлома Nissan Leaf, принадлежащему Хелме, ранее был подробно описан неизвестным исследователем. Последнему удалось обнаружить, что используя компьютер в качестве прокси-сервера в момент, когда приложение пытается получить доступ к сети, можно просматривать запросы, отправленные приложением к серверу.
Последние цифры в коде сразу после VIN – это уникальный набор данных для каждой машины. Он нанесен на лобовое стекло каждого автомобиля, так что при желании его может увидеть любой желающий.
Важно отметить, что используемый Хантом метод взлома позволяет захватить контроль только над климатической системой автомобиля, что в принципе не смертельно, хотя и приятного тут малость. Куда более серьезным поводом для беспокойства является то, что, подключившись к Nissan Leaf единожды, потенциальный хакер может получить доступ к информации о недавних поездках, местоположении автомобиля, статистику разряда батареи и ее состояния, а также прочие данные, которые могут быть использованы для отслеживания перемещения и точного определения привычных маршрутов.
Самое неприятное в этой истории, что Nissan не предусмотрел никаких мер защиты для проверки личности пользователя ни на одном из концов соединения.
Напоследок еще один интересный факт, который говорит не в пользу Nissan. Дело в том, что VIN-коды всех автомобилей Nissan Leaf отличаются только последними пятью-шестью цифрами, так что злоумышленники могут выяснить идентификационный номер любого Nissan Leaf даже без визуального контакта – методом простого подбора.
Понравиласть статья? Жми лайк или расскажи своим друзьям!
Комментарии
Добавить комментарий
Похожие новости:
27.09.2016
Представители BlackBerry заключили партнёрское соглашение с компанией Zimperium, известной благодаря разработкам в области систем безопасности для мобильных приложений и сервисов. Плодом совместных трудов новоиспечённого союза станет предоставление
12.05.2016
На рынке электромобилей основным конкурентом Tesla Motors является Nissan. Несмотря на то, что компании производят машины совершенно разных классов, пока что их можно назвать конкурентами из-за ограниченности данного рынка в целом.
19.01.2016
Специалист по компьютерной безопасности, который в конце сентября выявил серьёзный недостаток в системе Gatekeeper от Apple, заявил, что данная проблема до сих пор не решена. Компания Apple выпустила два патча, которые должны были закрыть уязвимости
16.11.2013
Хакерам, связанным с международной группировкой Anonymous, удалось взломать компьютеры нескольких американских федеральных ведомств, используя брешь в программном обеспечении Adobe, и получить доступ к секретной информации. Об этом сообщает 15