Специалист по компьютерной безопасности Трой Хант смог взломать популярный электромобиль Nissan Leaf, используя для этого только браузер и идентификационный номер (VIN) автомобиля. Статью с подробными объяснениями эксперт опубликовал в своем блоге.
Для взлома программист запустил в браузере приложение NissanConnect EV и подключился к серверам Nissan. Оказалось, что приложение для запроса использует метод GET, что позволяет отправлять запросы через обычный браузер. Приложение запрашивало у серверов доступ к системам автомобиля, при этом запрос включал в себя VIN. Если ввести в запрос номер, то приложение обеспечит злоумышленнику анонимный доступ к автомобилю.
Приложение, установленное на смартфоне, позволяет управлять системой климата-контроля в салоне автомобиля, а также проверить уровень заряда батареи. Поэтому действия хакера ограничены возможностью включить или выключить обогрев кресел или кондиционер, а также разрядить батарею. Что больше встревожило эксперта, так это возможность получения доступа к истории поездок. Злоумышленник, таким образом, может проследить за хозяином машины и понять, когда тот будет отсутствовать дома.
Взлом можно осуществить из любой точки земного шара и получить доступ к любому автомобилю. Хотя для этого необходимо знать VIN, последний можно получить, перебирая пять последних цифр. Кроме того, номер указан на лобовом стекле автомобиля.
Обнаружив уязвимость, эксперт связался с представителями компании Nissan, которые пообещали в скором времени решить проблему.
Nissan Leaf — электромобиль, который выпускается с 2010 года японским концерном Nissan. По состоянию на декабрь 2015 года машина является самым продаваемым электромобилем в мире.
Александр Еникеев