21.04.40 Дослідник стверджує, що найпопулярніший в світі електромобіль Nissan Leaf можна легко зламати через інтернет, використовуючи незахищені API | |
 У нинішніх умовах майбутнього поширення розумних автомобілів, здатних самостійно приймати складні рішення і повністю обходиться без допомоги водія, проблеми безпеки, які дозволяють хакерам захопити контроль над транспортним засобом, - найгірше, що може статися. Днями фахівець в області інформаційної безпеки Трой Хант опублікував результати дослідження, проведеного з метою демонстрації беззахисності людства перед атаками подібного роду. Як приклад для демонстрації недосконалості автомобільних систем безпеки дослідник вибрав найпопулярніший в світі електромобіль Nissan Leaf. Використовуючи уразливість в API, Ханту, що знаходиться в Австралії, вдалося віддалено отримати доступ до електромобіля Nissan Leaf, який належить іншому досліднику з Великобританії - Скотту Хелмі.  Для злому Хант використовував офіційний мобільний додаток Nissan Leaf, який дозволяє керувати деякими функціями автомобіля, наприклад, включення обігрів / охолодження салону, перевірка рівня заряду акумулятора і т.д., за допомогою смартфона. Останнє, що було потрібно для здійснення успішного злому автомобіля, крім додатка, - ідентифікаційний номер транспортного засобу та, природно, навички хакера. Метод, який використовується Хантом для злому Nissan Leaf, який належить Хелмі, раніше був детально описаний невідомим дослідником. Останньому вдалося виявити, що використовуючи комп'ютер в якості проксі-сервера в момент, коли програма намагається отримати доступ до мережі, можна переглядати запити, надіслані додатком до сервера. Ці запити мають такий вигляд: GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21 Останні цифри в коді відразу після VIN - це унікальний набір даних для кожної машини. Він нанесений на лобове скло кожного автомобіля, так що при бажанні його може побачити будь-хто. Важливо відзначити, що використовуваний Хантом метод злому дозволяє захопити контроль тільки над кліматичною системою автомобіля, що в принципі не смертельно, хоча і приємного тут небагато. Куди більш серйозним приводом для занепокоєння є те, що, підключившись до Nissan Leaf раз, потенційний хакер може отримати доступ до інформації про недавні поїздки, місце знаходження автомобіля, статистику розряду батареї і її стан, а також інші дані, які можуть бути використані для відстеження переміщення і точного визначення звичних маршрутів. Найнеприємніше в цій історії, що Nissan не передбачив ніяких заходів захисту для перевірки особистості користувача ні на одному з кінців з'єднання. Наостанок ще один цікавий факт, який свідчить не на користь Nissan. Справа в тому, що VIN-коди всіх автомобілів Nissan Leaf відрізняються тільки останніми п'ятьма-шістьма цифрами, так що зловмисники можуть з'ясувати ідентифікаційний номер будь-якого Nissan Leaf навіть без візуального контакту - методом простого підбору. Джерело: TNW | |
|
| |
| Всього коментарів: 0 | |