日产LEAF汽车API遭泄露 黑客可远程控制

jack

作为日本知名汽车厂商旗下的电动车系列，日产LEAF采用非安全API帮助用户查询并控制其各项车载功能——然而该API并不具备验证设定，意味着任何人都能够通过互联网连接与其加以访问。

日产LEAF这一缩写源自“领先的环保型经济家用轿车（Leading Environmentally- friendly Affordable Family car）”，同时也是目前日产旗下最受欢迎的电动车型之一。LEAF汽车提供一款可选移动应用，允许车主对其受限功能集进行确认及控制。

来自不同国家的用户发现多个未受保护的API

过去几个月以来，互不相关的用户们各自独立发现了日产LEAF所使用的API端点。用户移动应用可借此发送各类命令，然而日产及其负责服务器管理的合作伙伴却并未对这些命令加以保护。

安全专家Troy Hunt近日发现Leaf配套应用程序NissanConnect存在系统BUG，允许其他任何人访问驾驶员的行车历史轨迹并扰乱车辆的供暖和空调系统，而且在攻击过程中黑客并不需要靠近车辆，只需要知道位于车辆前挡风玻璃的车辆识别号（简称VIN）就能发起攻击。

多位用户发现自己能够查看LEAF车辆的电池状态、命令其开始或者停止充电、开启/关闭空调系统甚至检索与之前行程相关的信息。

上述各项请求只需通过几项设定即可实现，攻击者可以猜测或者通过互联网获取设定方法——甚至包括本应属于私有信息的VIN。

不过日产公司还是做了件好事，即不允许通过API启动/停止车辆，或者开启/锁定车门。除此之外，该API亦不会泄露车主的个人身份信息——而仅仅提供部分车辆设定数据。

日产公司已经意识到这一问题，但目前尚未做出任何针对性声明。

第一位发现上述问题的用户来自某加拿大汽车论坛。该问题随后又被一位挪威安全研究员发现，并报告给了Have I Been Pwned？网站持有者Troy Hunt——当时他正在国内参加安全会议。

在确认该API确实缺少用户身份验证机制后，Hunt先生于今年1月23日同日产方面取得联系，并向后者报告了相关问题。

截至本文发稿之时，日产LEAF API仍然直接暴露于互联网之下，不过Hunt先生表示用户可以通过对应的门户网站关闭车辆的远程管理功能。该门户网站的具体URL取决于用户所在国家及地区。