Беззащитный Nissan

Исследователи Трой Хант и Скотт Хелм обнаружили проблему, угрожающую безопасности владельцев популярной в США и Европе модели электромобиля Nissan LEAF. В их находку трудно поверить, но факт остается фактом: мобильное приложение для Nissan LEAF вообще не имеет никакой защиты.

Приложение создано главным образом для того, чтобы владелец мог дистанционно проверить уровень заряда аккумулятора – функция, крайне необходимая для электромобиля. Однако для получения информации требуется ввести только идентификационный номер транспортного средства – VIN-код. Ни паролей, ни защитных кодов, которые передавались бы на смартфон владельца машины, не предусмотрено в принципе. В результате достаточно знать VIN-код того или иного Nissan LEAF, чтобы проделать с машиной ряд неприятных действий.

Это и продемонстрировал Трой Хант. Находясь в Австралии, он с помощью веб-браузера запустил установку климат-контроля в припаркованном в Англии Nissan LEAF Скотта Хелма. Исследователи отметили, что приложение не дает доступа к запуску двигателя или тормозам, а потому жизни автомобилистов не угрожает. Однако та же установка климат-контроля потребляет немалый объем энергии. И ее несанкционированный запуск чреват тем, что владелец Nissan LEAF может оказаться у машины с разряженной батареей в тот момент, когда ему крайне необходимо отправиться в путь. Кроме того, приложение открывает доступ и к персональным данным – имени водителя и истории совершенных им поездок.

«Самое поразительное в том, что это не уязвимость и не сбой программы. Анализ приложения показывает, что оно сознательно было создано разработчиками именно так – с предоставлением доступа только по VIN-коду», – прокомментировали свою находку исследователи. Реакции от представителей Nissan пока не поступало.