日産の電気自動車「リーフ」は、安全でない API を使用して世界中のどこからでも簡単にハッキングされる可能性がある
2人のセキュリティ研究者によると、日産自動車の一部の車は簡単にハッキングされ、暖房や空調システムが乗っ取られる可能性があるという。二人のセキュリティ研究者は、スコット・ヘルムそしてトロイ・ハント日産リーフのリモート管理 API の脆弱性を実証しました。この API により、車の VIN 番号を知っている人は誰でも、インターネット上のどこからでも車の特定の機能にアクセスできるようになります。
トロイ・ハントが報じた電気自動車のコンパニオンアプリの欠陥により、ドライバーの最近の移動に関するデータが盗み見される可能性があるという。オーストラリアに住むハント氏とイングランド北部のヘルメ氏は1万マイル以上離れていることからもわかるように、ハッキング攻撃は世界中のどこからでも実行できる。
日産にはモバイルアプリがありますりんごそしてアンドロイド日産リーフオーナー向けのデバイス。 NissanConnect と呼ばれるアプリを使用すると、オーナーは次のことを確認できます。
- バッテリーの充電状態を確認する
- 充電を開始する
- バッテリーの充電がいつ完了するかを確認する
- 推定航続可能距離を確認する
- 空調システムをオンまたはオフにする
Hunt と Helme は、医療機関との通信にアプリが使用する API がオープンかつ認証されておらず、簡単に操作できることを発見しました。すべての日産リーフは、VIN プレフィックス「SJNFAAZE0U60」を共有しており、最後の 5 文字はそれぞれ固有です。 Hunt 氏は、ハッカーが API にアクセスするには完全な VIN を知る必要があるだけだと述べています。このコードは通常、車のフロントガラスにステンシルされているため、比較的簡単にコピーできます。 Vin の頭文字は、ブランド、車種、製造国/本社の所在地を表します。
したがって、同じ地域に拠点を置く異なる日産リーフ間で異なるのは最終的な数値にすぎないとハント氏は述べた。ハッカーは攻撃を行うためにアプリを使用する必要さえないとハント氏は言う。コマンドは Web ブラウザ経由で送信され、ハッキングが行われる可能性があります。
問題を確認するために、オーストラリアに拠点を置くハント氏は、英国に拠点を置く日産リーフ所有者の知人のVIN番号を使用した。
ハント氏は、この問題が生命を脅かすものではないことを認めたものの、ハッカーが依然としてNissanConnectアプリの脆弱性を悪用し、人々のバッテリーを消耗させていたずらを引き起こす可能性があると述べた。
ハント氏は、この脆弱性について日産に通知し、公開を決定する前に問題を修正するのに1カ月の猶予を与えていたと述べた。現時点ではこの脆弱性は日産によって修正されていないため、ハント氏は車の所有者は無効にすることで身を守ることができると述べた日産カーウイングスのアカウント。
サインアップしたことがない人には危険はありません。
