Nissan LEAF – один из самых продаваемых электрокаров в мире. Многие современные авто комплектуются мобильными приложениями, и экологичный LEAF, конечно, не отстает.
Вот только в приложении Nissan обнаружились большие проблемы с безопасностью, которые сначала заметили сами пользователи, а затем изучил эксперт по информационной безопасности Трой Хант (Troy Hunt).
Официальное приложение Nissan Connect позволяет владельцу авто контролировать некоторые функции машины удаленно. Оказалось, что для идентификации приложение использует исключительно VIN (Vehicle Identification Number) автомобиля и ничего больше. На дыру в API первыми обратили внимание пользователи канадского автофорума. Не осознавая того, что это огромная брешь в безопасности, пользователи даже создали альтернативную версию приложения Nissan Connect.
С одной стороны, узнав чужой VIN (которой часто написан прямо на лобовом стекле автомобиля), не получится удаленно завести двигатель: у приложения нет такой функции. С другой стороны LEAF – это электромобиль, так что злоумышленник, к примеру, может удаленно разрядить его батарею, подложив тем самым свинью владельцу.
Когда информация о дырявом приложении дошла до Троя Ханта, владельца известного ресурса «Have I Been Pwned?», он решил изучить проблему сам. Выяснилось, что приложение будто нарочно было создано безо всякой защиты. На портале LEAF нет никакой системы авторизации, а на мобильном устройстве пользователя не сохраняется токен безопасности, который мог бы запретить доступ к машине всем, кроме ее владельца.
Фактически Хант и другие эксперты пришли к выводу, что, узнав чужой VIN, атакующий может подключиться к серверам Nissan, в том числе через обычный браузер. Злоумышленник может не только получить определенный контроль над системами авто (включить или выключить климат-контроль, обогрев сидений или посмотреть уровень заряда батареи), но и узнать информацию об автомобиле, в том числе, получить доступ к истории поездок. К счастью для владельцев LEAF, удаленно разблокировать двери или завести двигатель авто нельзя.
Трой Хант официально уведомил автопроизводителя о проблеме еще 23 января 2016 года, но компания отреагировала на происходящее только сейчас, после того как о дырявом приложении узнал весь мир. Компания временно приостановила работу Nissan Connect, извинилась перед владельцами автомобилей и пообещала в самом скором времени выпустить новую, безопасную версию приложения.
