Most a Nissan egyes típusainál bukott ki egy probléma. Szerencsére a közlekedésbiztonságot nem veszélyezteti.

Átmenetileg letiltotta a NissanConnect EV rendszer használatát a Nissan, mert elektromos autójában, a LEAF-ben komoly biztonsági hibát találtak. Bár a hiba állítólag már tavaly év vége óta ismert, mégis egy ausztrál LEAF-tulajdonos és egy szintén ausztrál biztonsági kutató, Troy Hunt nevéhez kötik, utóbbi publikálta ugyanis a kutatásait, melyről a Biztonságportál készített összefoglalót.

Hunt a ';-- have i been pwned? weboldallal és adatbázissal szerzett magának nemzetközi hírnevet, amely segít a felhasználóknak ellenőrizni, hogy e-mail címűk került-e adattolvajok birtokába. (A praktikus oldal elindulásáról a Bitport is beszámolt.)

A gyenge azonosítás a ludas

Hunt és egyik tanítványa, akinek történetesen Nissan LEAF-je van, észrevették, hogy az autó egyes funkcióinak vezérlésére alkalmas iOS alkalmazás biztonsági hiányosságok miatt ártalmas célokra is használható.

A problémát az okozza, hogy az app mindössze a LEAF járművekhez tartozó, egyedi VIN (Vehicle Identification Number) szám alapján végzi a hitelesítést. Csakhogy a LEAF esetében a 17 karakter hosszúságú VIN-nek mindössze az utolsó öt karaktere tér el egymástól, így ki van téve brute force támadásoknak. A kódokat ugyanis viszonylag gyors végig lehet ellenőrizni próbálgatással, és a kód bitrokában jogosulatlan hozzáférésre nyílhat lehetőség.

Ha a támadó megszerezte a kódot, be- vagy kikapcsolhatja a klímát, sőt lekérdezheti a jármű által gyűjtött egyes naplóinformációkat is. A napló tartalmazza például, hogy mikor használták az autót, rögzíti a megtett távolságot, az utazások számát, a fogyasztást stb.

Hunt egy brit kollégájának autójával kísérletezett is: például képes volt távolról bekapcsolni az alkalmazással a parkoló autó klímáját, ami aztán le is merítette az akkumulátort, de a naplóadatokat is sikerült megszereznie.

Nem veszélyezteti a közlekedés biztonságát

Szerencse a szerencsétlenségben, hogy a feltárt hiba a közlekedés biztonságát nem veszélyezteti, tehát nem olyan súlyos a probléma, mint amit Charlie Millerék demonstráltak tavaly egy Jeep Cherokee-nál.

De ennek egyedül az az oka, hogy a Nissan mobilalkalmazása nem képes arra, hogy távolról kinyissa az autó ajtaját, vagy elindítsa-leállítsa a motort. Ugyanakkor mégsem szabad elmenni a probléma mellett, mert ezek a funkciók technikai szempontból simán megvalósíthatóak. A Nissannak most egyszerűen az volt a szerencséje, hogy egyelőre valamiért nem akarta ezeket a funkciókat megvalósítani. Adatvédelmi problémákat azonban így is felvet az alkalmazás hibája.

A Nissan el is ismerte, hogy hibázott, ezért is tiltotta le átmenetileg a rendszert, és dolgozik a sérülékenység kiküszöbölésén. (Az persze nem derült ki, hogy csak a Hunték publikálta probléma miatt döntött így, vagy találtak mást is a gyár fejlesztői.)

Az autógyár hangsúlyozta: a LEAF-ek használata továbbra is biztonságos, mert a hiba kizárólag azokat az egyelőre korlátozott funkciókat érinti, amik mobilról appal is vezérelhetők. Ezek a funkciók egyébként a manuális kezelőszervekről is elérhetők. A Nissan mintegy 200 ezer LEAF-et értékesített eddig.

Biztonság

Beindult a termelés a Tesla gigászi akkumulátorgyárában

Akár több mint 30 százalékkal olcsóbbá válhatnak az elektromos autók telepei, és így jóval több ember számára lehet elérhető a szénhidrogéntől mentes közlekedés.
 
Hirdetés

IBM BigFix: proaktív végpontvédelem a nulladik napi támadások ellen is

Utólagos reagálás helyett megelőző védelmet, kockázatelemzést és patch-menedzsmentet kínál valós időben az IBM végpontvédelmi megoldása.

Rengeteg a szenzor és a mérési információ, melyek összegzése és értelmezése megoldandó feladatként tornyosul az adatközpontot üzemeltetők fölé.

a melléklet támogatója
az APC by Schneider Electric

Hirdetés

Adatközpont, a legújabb igényekre szabva

A DCIM eszközök is segítenek a vállalatoknak versenyképességük megőrzésében, mert jobban követhetik az IT világában egyre gyorsabban változó igényeket és elvárásokat.

Minden eddiginél több szoftvergyártói audit vár rájuk. Az IPR-Insights felmérése a magyar piacról.
A két új csúcsmodell nem változtat, legfeljebb csiszol a bevált recepteken.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.