Специалист по компьютерной безопасности Трой Хант обнаружил уязвимость у самого популярного электромобиля Nissan Leaf, благодаря которой можно получить доступ к управлению некоторыми функциями машины через интернет.
Для взлома оказалось достаточно выйти в интернет с помощью обычного браузера и заранее знать идентификационный номер (VIN) конкретного электромобиля.
Изучив алгоритм работы фирменного мобильного приложения NissanConnect EV, хакер выяснил, что приложение позволяет отправлять запросы через обычный браузер.
Оно запрашивает у серверов Nissan доступ к бортовым системам автомобиля, при этом запрос включает в себя VIN в адресной строке.
Приложение позволяет управлять климат-контролем, зарядом аккумуляторной батареи и фиксирует историю поездок электромобиля.
Злоумышленник может удалённо включать кондиционер или печку, отключить зарядное устройство и получить доступ к подробной истории поездок — когда и куда ездил хозяин машины.
Взлом можно осуществить из любой точки земного шара и получить доступ к любому Nissan Leaf: Трой взломал из Австралии электромобиль своего приятеля, который находился в Великобритании.
Идентификационный номер автомобилей, согласно требованиям законодательства, в обязательном порядке указывается в окошке под лобовым стеклом, поэтому его легко узнать.
Хант отправил подробный отчёт об уязвимости специалистам компании Nissan, чтобы они исправили работу приложения.