Most a Nissan egyes típusainál bukott ki egy probléma. Szerencsére a közlekedésbiztonságot nem veszélyezteti.
Hirdetés
 

Átmenetileg letiltotta a NissanConnect EV rendszer használatát a Nissan, mert elektromos autójában, a LEAF-ben komoly biztonsági hibát találtak. Bár a hiba állítólag már tavaly év vége óta ismert, mégis egy ausztrál LEAF-tulajdonos és egy szintén ausztrál biztonsági kutató, Troy Hunt nevéhez kötik, utóbbi publikálta ugyanis a kutatásait, melyről a Biztonságportál készített összefoglalót.

Hunt a ';-- have i been pwned? weboldallal és adatbázissal szerzett magának nemzetközi hírnevet, amely segít a felhasználóknak ellenőrizni, hogy e-mail címűk került-e adattolvajok birtokába. (A praktikus oldal elindulásáról a Bitport is beszámolt.)

A gyenge azonosítás a ludas

Hunt és egyik tanítványa, akinek történetesen Nissan LEAF-je van, észrevették, hogy az autó egyes funkcióinak vezérlésére alkalmas iOS alkalmazás biztonsági hiányosságok miatt ártalmas célokra is használható.

A problémát az okozza, hogy az app mindössze a LEAF járművekhez tartozó, egyedi VIN (Vehicle Identification Number) szám alapján végzi a hitelesítést. Csakhogy a LEAF esetében a 17 karakter hosszúságú VIN-nek mindössze az utolsó öt karaktere tér el egymástól, így ki van téve brute force támadásoknak. A kódokat ugyanis viszonylag gyors végig lehet ellenőrizni próbálgatással, és a kód bitrokában jogosulatlan hozzáférésre nyílhat lehetőség.

Ha a támadó megszerezte a kódot, be- vagy kikapcsolhatja a klímát, sőt lekérdezheti a jármű által gyűjtött egyes naplóinformációkat is. A napló tartalmazza például, hogy mikor használták az autót, rögzíti a megtett távolságot, az utazások számát, a fogyasztást stb.

Hunt egy brit kollégájának autójával kísérletezett is: például képes volt távolról bekapcsolni az alkalmazással a parkoló autó klímáját, ami aztán le is merítette az akkumulátort, de a naplóadatokat is sikerült megszereznie.

Nem veszélyezteti a közlekedés biztonságát

Szerencse a szerencsétlenségben, hogy a feltárt hiba a közlekedés biztonságát nem veszélyezteti, tehát nem olyan súlyos a probléma, mint amit Charlie Millerék demonstráltak tavaly egy Jeep Cherokee-nál.

De ennek egyedül az az oka, hogy a Nissan mobilalkalmazása nem képes arra, hogy távolról kinyissa az autó ajtaját, vagy elindítsa-leállítsa a motort. Ugyanakkor mégsem szabad elmenni a probléma mellett, mert ezek a funkciók technikai szempontból simán megvalósíthatóak. A Nissannak most egyszerűen az volt a szerencséje, hogy egyelőre valamiért nem akarta ezeket a funkciókat megvalósítani. Adatvédelmi problémákat azonban így is felvet az alkalmazás hibája.

A Nissan el is ismerte, hogy hibázott, ezért is tiltotta le átmenetileg a rendszert, és dolgozik a sérülékenység kiküszöbölésén. (Az persze nem derült ki, hogy csak a Hunték publikálta probléma miatt döntött így, vagy találtak mást is a gyár fejlesztői.)

Az autógyár hangsúlyozta: a LEAF-ek használata továbbra is biztonságos, mert a hiba kizárólag azokat az egyelőre korlátozott funkciókat érinti, amik mobilról appal is vezérelhetők. Ezek a funkciók egyébként a manuális kezelőszervekről is elérhetők. A Nissan mintegy 200 ezer LEAF-et értékesített eddig.

Biztonság

Így lehet veszélyes egy hiányzó betűkészlet

Új fenyegetéssel kell szembenéznie a Chrome böngészőt használók táborának.
 
Küszöbön áll egy kifejezetten a kis- és középvállalatok számára induló, jelentős részben vissza nem térítendő EU-s támogatást tartalmazó pályázat felhőalapú szolgáltatások bevezetésére. Mégsem csak ettől kell várni a megváltást.

a melléklet támogatója a MiniCRM

Hirdetés

Kitörési pont a kkv-knak

Ahhoz, hogy Magyarország fejlődni tudjon, elengedhetetlen a kis-, és középvállalkozások növekedése. De mi kell ahhoz, hogy ez teljesüljön? Cikkünkből kiderül! (x)

Egy nemzetközi kutatás szerint a szoftvergyártók auditja nem tesz jót az innovációnak, és a versenyt is gátolja. Segítsen felmérni a hazai helyzetet!
A digitális átalakulás szép elv. De ha mindent az azonnali megtérülés és az IT-költségek csökkentése vezérel, akkor csak elv marad – súlyos valós következményekkel. Takács István Péter írása.

Az élethosszig tartó tanulás lesz a legfontosabb képességünk

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Másfél év alatt vált le a Budapest Bank szervezete a GE Capitalról. A folyamatban nagy szerepet kaptak a helyi szállítók is. Kelemen Bálint informatikai vezető (Budapest Bank) írása.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2016 Bitport.hu Média Kft. Minden jog fenntartva.