Most a Nissan egyes típusainál bukott ki egy probléma. Szerencsére a közlekedésbiztonságot nem veszélyezteti.

Átmenetileg letiltotta a NissanConnect EV rendszer használatát a Nissan, mert elektromos autójában, a LEAF-ben komoly biztonsági hibát találtak. Bár a hiba állítólag már tavaly év vége óta ismert, mégis egy ausztrál LEAF-tulajdonos és egy szintén ausztrál biztonsági kutató, Troy Hunt nevéhez kötik, utóbbi publikálta ugyanis a kutatásait, melyről a Biztonságportál készített összefoglalót.

Hunt a ';-- have i been pwned? weboldallal és adatbázissal szerzett magának nemzetközi hírnevet, amely segít a felhasználóknak ellenőrizni, hogy e-mail címűk került-e adattolvajok birtokába. (A praktikus oldal elindulásáról a Bitport is beszámolt.)

A gyenge azonosítás a ludas

Hunt és egyik tanítványa, akinek történetesen Nissan LEAF-je van, észrevették, hogy az autó egyes funkcióinak vezérlésére alkalmas iOS alkalmazás biztonsági hiányosságok miatt ártalmas célokra is használható.

A problémát az okozza, hogy az app mindössze a LEAF járművekhez tartozó, egyedi VIN (Vehicle Identification Number) szám alapján végzi a hitelesítést. Csakhogy a LEAF esetében a 17 karakter hosszúságú VIN-nek mindössze az utolsó öt karaktere tér el egymástól, így ki van téve brute force támadásoknak. A kódokat ugyanis viszonylag gyors végig lehet ellenőrizni próbálgatással, és a kód bitrokában jogosulatlan hozzáférésre nyílhat lehetőség.

Ha a támadó megszerezte a kódot, be- vagy kikapcsolhatja a klímát, sőt lekérdezheti a jármű által gyűjtött egyes naplóinformációkat is. A napló tartalmazza például, hogy mikor használták az autót, rögzíti a megtett távolságot, az utazások számát, a fogyasztást stb.

Hunt egy brit kollégájának autójával kísérletezett is: például képes volt távolról bekapcsolni az alkalmazással a parkoló autó klímáját, ami aztán le is merítette az akkumulátort, de a naplóadatokat is sikerült megszereznie.

Nem veszélyezteti a közlekedés biztonságát

Szerencse a szerencsétlenségben, hogy a feltárt hiba a közlekedés biztonságát nem veszélyezteti, tehát nem olyan súlyos a probléma, mint amit Charlie Millerék demonstráltak tavaly egy Jeep Cherokee-nál.

De ennek egyedül az az oka, hogy a Nissan mobilalkalmazása nem képes arra, hogy távolról kinyissa az autó ajtaját, vagy elindítsa-leállítsa a motort. Ugyanakkor mégsem szabad elmenni a probléma mellett, mert ezek a funkciók technikai szempontból simán megvalósíthatóak. A Nissannak most egyszerűen az volt a szerencséje, hogy egyelőre valamiért nem akarta ezeket a funkciókat megvalósítani. Adatvédelmi problémákat azonban így is felvet az alkalmazás hibája.

A Nissan el is ismerte, hogy hibázott, ezért is tiltotta le átmenetileg a rendszert, és dolgozik a sérülékenység kiküszöbölésén. (Az persze nem derült ki, hogy csak a Hunték publikálta probléma miatt döntött így, vagy találtak mást is a gyár fejlesztői.)

Az autógyár hangsúlyozta: a LEAF-ek használata továbbra is biztonságos, mert a hiba kizárólag azokat az egyelőre korlátozott funkciókat érinti, amik mobilról appal is vezérelhetők. Ezek a funkciók egyébként a manuális kezelőszervekről is elérhetők. A Nissan mintegy 200 ezer LEAF-et értékesített eddig.

Biztonság

Bosszút áll az okostelefon, ha nem foglalkozunk vele

Egy amerikai kutatás szerint az okostelefon nem csak hasznos és szórakoztató társ, de kikapcsolt vagy zsebre tett állapotban elhülyít és ostoba döntésekre kényszerít.
 
Hirdetés

Okos városok felé nyit az ALEF, a Libelium kizárólagos disztribútora lett

Portfólióját az okos város projektek irányába szélesíti az ALEF csoport, amely a közelmúltban disztribúciós megállapodást kötött a témában az élenjárók közé sorolt spanyol Libelium céggel.

Egy hackertámadás kezdete és felfedezése ritkán esik egybe. A kettő között eltelt napok, hetek, hónapok időszaka az, amikor a támadók észrevétlenül garázdálkodhatnak a rendszerben. Lehet és kell is csökkenteni ezt az időt.

a melléklet támogatója a Cisco Systems

Hirdetés

A leghatékonyabb védelem a zsarolóvírusokkal szemben

Már a sérülékenység ismertté válása utáni egy-két órát követően megnyugodhatnak azok, akik a Cisco preventív eszközeivel védik hálózataikat a legújabb fenyegetésekkel szemben.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.