האקרים יכולים להתעסק עם העלה ניסן שלך מכל מקום בעולם

הדרך אל כל חשמלי, נהיגה עצמית, הפלאות תחבורה מקושרים הולך להיות כמה מהמורות מהירות.

ונער, עלה ניסן פשוט פגע באחד. סטודנט לביטחון דיגיטלי גילה באג במערכת של ניסן, שלא רק איפשר לו לשלוט בתכונות על המכונית שלו מרחוק, בדרך שבה ניסן לא התכוון, אלא שהוא יכול להתחבר אנשים אחרים של ניסן Leafs ולהתעסק עם המכוניות שלהם. הבאג אפשר לו להפוך את האוהדים לסירוגין, להתעסק עם תכונות קטנות אחרות של אפליקציית הטלפון החכם הנלווית שלך יכולה לשלוט, כמו גם להציג מידע נהיגה ונתונים של אנשים אחרים. הבקרות הפיזיות יכלו להעלות על הדעת את הסוללה של המכונית, ולהשאיר את הנהגים תקועים.

התלמיד מיד העביר את תקלה למורה שלו, חוקר אבטחה באינטרנט ומרצה הסמינר טרוי האנט, שחבר עם חוקר עמית ובעל העלה סקוט הלמה כדי לבדוק את הפער הביטחוני בווידאו.

הבאג היה פשוט יחסית: תקלה בתכנות של האפליקציה מאפשרת למשתמשים להתחבר למכוניות שלהם באופן מקוון, באופן אנונימי - כלומר, ללא אימות הזהות שלהם כבעלים של המכונית שאליה הם התחברו, מחוץ למספר זיהוי הרכב. במילים אחרות, אם אתה יכול לקבל VIN של מישהו, אתה יכול לשלוט (חלקים) את המכונית שלהם.

"כל אחד יכול למנות VINs פוטנציאל לשלוט על הפונקציה הפיזית של כל כלי רכב שהגיבו. זה היה נושא רציני מאוד ", אמר האנט בבלוג שלו על הבאג.

האנט חיכה כמות ניכרת של זמן לפני ביצוע באג לציבור, נותן ניסאן זמן להוציא תיקון, אשר עדיין לא קרה.

"דיווחתי על זה לניסאן יום אחרי שגילינו את זה, "אמר האנט בתפקיד. "אבל מהיום - 32 יום לאחר מכן - הבעיה נותרה בלתי פתורה".

כאשר האנט, המתגורר באוסטרליה, בדק את החרק עם הלמה, הם מצאו כי האנט יכול לשלוט באותן תכונות של Helme's Leaf, החונות בחניה שלו בצפון אנגליה, שהוא יכול שלו, כל דרך דפדפן האינטרנט שלו.

הנה המבחן המלא בווידאו:

ובכל זאת, אמרה הלמה, זה יכול להיות יותר גרוע.

"למרבה המזל, את ניסן LEAF אין תכונות כמו לפתוח מרחוק או להתחיל מרחוק, כמו כמה כלי רכב של יצרנים אחרים לעשות, כי זה יהיה אסון עם מה שנחשף", אמר הלמה פוסט בבלוג של האנט.

כלי רכב מחוברים אחרים, כמו כלי רכב מנוהלים של OnStar, נחשפו לליקויים מסוכנים הרבה יותר, כולל שליטה במנוע. האקרים מפורסמים הצליחו לסגור מרחוק ג'יפ עם חוטי כתב בתוך הגב בחודש יולי, ואת ניסן באג אינו חמור כמו. עדיין מספרי VIN לא קשה במיוחד עבור האקר ייעודי כוח הזרוע דרך ולמצוא, אז זה יכול להיות חכם כדי לפקוח עין על פתחי האוורור שלך עבור סימנים של בקרת אקלים אסורה.