Két biztonsági kutató, Scott Helme és Troy Hunt bemutatta, hogy milyen egyszerű bárkinek, aki ismeri a Leaf alvázszámát, átvenni az uralmat a kisautó bizonyos berendezései, konkrétan a fűtő- és légkondicionáló rendszerei felett az interneten keresztül.

Troy Hunt felfedte azt is, hogy van egy hiba a jármű társ alkalmazásában is, amelyet kihasználva kikémlelhetőek a jármű által megtett korábbi útvonalak. A hack ráadásul a világ bármely részéről végrehajtható.

A Nissan elkészítette az alkalmazást Apple és androidos eszközökre is a Leaf-tulajdonosok számára. A NissanConnect nevű alkalmazással az alábbiak ellenőrizhetőek:

• Az akkumulátorok állapota,
• töltés megkezdése
• töltés befejezése,
• becsült hatótávolság
• a klíma ki- és bekapcsolása.

A kutatók rájöttek, hogy az alkalmazás által használt API nyitott, nem hitelesített és könnyedén manipulálható.

Minden Nissan Leaf alvázszáma a “SJNFAAZE0U60” karaktersorozattal kezdődik, és csak az utolsó 5 karakter egyedi. Az API eléréséhez a hackernek ismernie kell a teljes alvázszámot. Ez rendszerint megtalálható a szélvédőn, ami egyszerűsíti a dolgot.

A támadáshoz a hackereknek még csak nem is kell használniuk a hivatalos alkalmazást. A parancsokat webböngészőn keresztül is el tudják küldeni. A probléma megerősítéséhez az ausztráliai Hunt egy angliai ismerőse Nissan Leafjének az alvázszámát használta fel.

Hung elismerte, hogy a hiba nem életveszélyes, de a hackerek a NissanConnect alkalmazás sérülékenységét kihasználva könnyen lemeríthetik a járművek akkumulátorát.

Hunt értesítette a felfedezésről a Nissant, és adott egy hónapot a cégnek a hiba orvoslásához, mielőtt publikálta volna az esetet. Mostanáig azonban nem foltozták be a rést. Hunt szerint az autótulajdonosok úgy védhetik meg magukat, hogy megszüntetik Nissan CarWings fiókjukat. Akik még nem regisztráltak, őket nem érinti a dolog.

Forrás: TechWorm