Átmenetileg letiltotta a NissanConnect EV rendszer használatát a Nissan, mert elektromos autójában, a LEAF-ben komoly biztonsági hibát találtak. Bár a hiba állítólag már tavaly év vége óta ismert, mégis egy ausztrál LEAF-tulajdonos és egy szintén ausztrál biztonsági kutató, Troy Hunt nevéhez kötik, utóbbi publikálta ugyanis a kutatásait, melyről a Biztonságportál készített összefoglalót.
Hunt a ';-- have i been pwned? weboldallal és adatbázissal szerzett magának nemzetközi hírnevet, amely segít a felhasználóknak ellenőrizni, hogy e-mail címűk került-e adattolvajok birtokába. (A praktikus oldal elindulásáról a Bitport is beszámolt.)
A gyenge azonosítás a ludas
Hunt és egyik tanítványa, akinek történetesen Nissan LEAF-je van, észrevették, hogy az autó egyes funkcióinak vezérlésére alkalmas iOS alkalmazás biztonsági hiányosságok miatt ártalmas célokra is használható.
A problémát az okozza, hogy az app mindössze a LEAF járművekhez tartozó, egyedi VIN (Vehicle Identification Number) szám alapján végzi a hitelesítést. Csakhogy a LEAF esetében a 17 karakter hosszúságú VIN-nek mindössze az utolsó öt karaktere tér el egymástól, így ki van téve brute force támadásoknak. A kódokat ugyanis viszonylag gyors végig lehet ellenőrizni próbálgatással, és a kód bitrokában jogosulatlan hozzáférésre nyílhat lehetőség.
Ha a támadó megszerezte a kódot, be- vagy kikapcsolhatja a klímát, sőt lekérdezheti a jármű által gyűjtött egyes naplóinformációkat is. A napló tartalmazza például, hogy mikor használták az autót, rögzíti a megtett távolságot, az utazások számát, a fogyasztást stb.
Hunt egy brit kollégájának autójával kísérletezett is: például képes volt távolról bekapcsolni az alkalmazással a parkoló autó klímáját, ami aztán le is merítette az akkumulátort, de a naplóadatokat is sikerült megszereznie.
Nem veszélyezteti a közlekedés biztonságát
Szerencse a szerencsétlenségben, hogy a feltárt hiba a közlekedés biztonságát nem veszélyezteti, tehát nem olyan súlyos a probléma, mint amit Charlie Millerék demonstráltak tavaly egy Jeep Cherokee-nál.
De ennek egyedül az az oka, hogy a Nissan mobilalkalmazása nem képes arra, hogy távolról kinyissa az autó ajtaját, vagy elindítsa-leállítsa a motort. Ugyanakkor mégsem szabad elmenni a probléma mellett, mert ezek a funkciók technikai szempontból simán megvalósíthatóak. A Nissannak most egyszerűen az volt a szerencséje, hogy egyelőre valamiért nem akarta ezeket a funkciókat megvalósítani. Adatvédelmi problémákat azonban így is felvet az alkalmazás hibája.
A Nissan el is ismerte, hogy hibázott, ezért is tiltotta le átmenetileg a rendszert, és dolgozik a sérülékenység kiküszöbölésén. (Az persze nem derült ki, hogy csak a Hunték publikálta probléma miatt döntött így, vagy találtak mást is a gyár fejlesztői.)
Az autógyár hangsúlyozta: a LEAF-ek használata továbbra is biztonságos, mert a hiba kizárólag azokat az egyelőre korlátozott funkciókat érinti, amik mobilról appal is vezérelhetők. Ezek a funkciók egyébként a manuális kezelőszervekről is elérhetők. A Nissan mintegy 200 ezer LEAF-et értékesített eddig.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak