新技术论坛
搜索
查看: 612|回复: 0
打印 上一主题 下一主题

日产LEAF汽车API遭泄露 黑客可远程控制

[复制链接]
  • TA的每日心情
    开心
    2016-10-18 06:23
  • 签到天数: 72 天

    连续签到: 1 天

    [LV.6]常住居民II

    扫一扫,手机访问本帖
    楼主
    跳转到指定楼层
    发表于 2016-2-25 13:14:48 来自手机 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
    作为日本知名汽车厂商旗下的电动车系列,日产LEAF采用非安全API帮助用户查询并控制其各项车载功能——然而该API并不具备验证设定,意味着任何人都能够通过互联网连接与其加以访问。

    日产LEAF这一缩写源自“领先的环保型经济家用轿车(Leading Environmentally- friendly Affordable Family car)”,同时也是目前日产旗下最受欢迎的电动车型之一。LEAF汽车提供一款可选移动应用,允许车主对其受限功能集进行确认及控制。

    来自不同国家的用户发现多个未受保护的API

    过去几个月以来,互不相关的用户们各自独立发现了日产LEAF所使用的API端点。用户移动应用可借此发送各类命令,然而日产及其负责服务器管理的合作伙伴却并未对这些命令加以保护。

    安全专家Troy Hunt近日发现Leaf配套应用程序NissanConnect存在系统BUG,允许其他任何人访问驾驶员的行车历史轨迹并扰乱车辆的供暖和空调系统,而且在攻击过程中黑客并不需要靠近车辆,只需要知道位于车辆前挡风玻璃的车辆识别号(简称VIN)就能发起攻击。

    多位用户发现自己能够查看LEAF车辆的电池状态、命令其开始或者停止充电、开启/关闭空调系统甚至检索与之前行程相关的信息。

    上述各项请求只需通过几项设定即可实现,攻击者可以猜测或者通过互联网获取设定方法——甚至包括本应属于私有信息的VIN。

    不过日产公司还是做了件好事,即不允许通过API启动/停止车辆,或者开启/锁定车门。除此之外,该API亦不会泄露车主的个人身份信息——而仅仅提供部分车辆设定数据。

    日产公司已经意识到这一问题,但目前尚未做出任何针对性声明。

    第一位发现上述问题的用户来自某加拿大汽车论坛。该问题随后又被一位挪威安全研究员发现,并报告给了Have I Been Pwned?网站持有者Troy Hunt——当时他正在国内参加安全会议。

    在确认该API确实缺少用户身份验证机制后,Hunt先生于今年1月23日同日产方面取得联系,并向后者报告了相关问题。

    截至本文发稿之时,日产LEAF API仍然直接暴露于互联网之下,不过Hunt先生表示用户可以通过对应的门户网站关闭车辆的远程管理功能。该门户网站的具体URL取决于用户所在国家及地区。
    高级模式
    B Color Image Link Quote Code Smilies

    本版积分规则

    手机版|Archiver|开发者俱乐部 ( ICP/ISP证:辽B-2-4-20110106号 IDC证:辽B-1-2-20070003号 )

    GMT+8, 2024-12-24 03:38 , Processed in 0.105475 second(s), 19 queries .

    X+ Open Developer Network (xodn.com)

    © 2009-2017 沈阳讯网网络科技有限公司

    快速回复 返回顶部 返回列表