在研究人员公开之后,日产在叶车应用程序安全缺陷
零售商处于“拨号”阶段的Omni频道
英格兰银行表示网络安全的风险管理关键
移动服务帮助银行留住客户并增加收入
SAP高管在数字骨架上看到物联网作为肉体
CIO采访:Anders Candell,Stora Enso
过去一年平均技术工资增长了2%
英格兰银行表示网络安全的风险管理关键
OpenReach在新住房庄园免费建立FTTP网络
NHS英格兰注射了55米以上的e-reglrals optake
MWC16:GSMA和运营商续订对关联妇女的承诺
萨里大学5Gic项目探索农村非斑点
领先的Edge论坛与帝国学院的业务中断
每周计算机50:庆祝50年的英国技术创新
谷歌的Chrome以欺骗欺骗性的嵌入式内容
家庭办公室技术团队获取现场服务总监
工业控制系统对于网络攻击的生长目标
欧盟委员会发布欧盟美隐盾的法律细节
Gartner说CDOS缺乏组织设计经验
瑞典保险公司钢笔基础设施与城市网络交易
赫兹部门选择认识到支持IOT计划
CIO采访:软件扰乱业务流程的力量
2015年十大NHS IT故事
努力过渡到数字时代的企业
超过10%的IT工人在男性主导的环境中使用
它在欧洲支出的混合前景
ee宣布,第二款电力栏回忆起火灾风险
政府仍然没有满足FTTP的需求
Yeovil医院获取患者的在线预订系统
Deutsche银行签署印度的HCL技术,用于数字服务和系统集成
自动机器人驱动网络攻击创新
报告说,网络安全心态需要改变
伦敦大会报告说,资本需要更多样化的技术人才
部署的U-船辩护将宽带带到奥克尼群岛
看门狗敦促美国核机构关闭网络安全差距
CCGS合作向NHS英格兰提交数字计划
王子的信任桥接数字技能差距与年轻的苏格兰舞厅
随着澳大利亚的皇家飞行医生服务将分析应用于一切,变更在空中
欧盟代理商鼓励欧洲主义的力量打击恐怖主义和网络犯罪
消费者接受基于店内的基于位置的追踪
BT名称全球IT建筑师霍华德沃森作为CIO
2015年前十大北欧CIO访谈
澳大利亚蒙纳士大学的100Gbps网络权力Petabyte研究云
教育,工业和政府不匹配的主要障碍对数字技能
奥斯本在网络安全投资1.9亿英镑
FCA对云开放 - 但它调节的公司是什么?
诺基亚控制了阿尔卡特朗讯
EE和Plusnet最抱怨宽带提供商
Martha Lane Fox希望数字技能学院将阻止IT公司招聘“相同种类的面孔”
约克夏和亨伯警察的IT系统价值高达4100万英镑
您的位置:首页 >论坛 > 电子业界 >

在研究人员公开之后,日产在叶车应用程序安全缺陷

2021-06-10 09:44:16 [来源]:

当安全研究员公开安全漏洞后,日产暂停了其Nissanconnect移动应用程序,但在他提醒汽车制造商后一个月。

当日产未能回应特洛伊亨特的警告时,他发现其他人正在讨论安全漏洞,他在他的研究结果上发表了一个博客。

Hunt能够与澳大利亚的Web浏览器一起使用Nissan Leaf Owner。

然后,狩猎能够远程打开座椅和方向盘和空调系统,并找到最近的旅程的所有者的注册用户名和距离。

这是可能的,因为Nissanconnect应用程序只需要用于访问的venicle识别号码(VIN),这意味着访问不限于汽车的所有者。

VINS通常在车窗上陷入困境,通常在最后五位数字中不同 - 这意味着攻击者可以编写脚本来完成所有可能的组合。

日产立即从安全专家遭到火灾,因为它未能包括任何机制来验证用户作为汽车所有者的机制。

大多数评论员敦促日产暂停应用程序,直到该公司现已完成,该公司现已完成。

“我们期待着尽快推出我们的应用程序的更新版本,”日产在一份声明中表示。

这款车说,当应用程序不可用时,在叶车和Env200电车模型中没有受到其他“关键驾驶元素”。

“全球司机可以继续使用他们的汽车安全,完全信心,”日产表示,补充说,自2010年以来已售出200,000多名叶电动汽车。

日产最初捍卫其无所作为,称安全缺陷没有代表安全风险,因为无法访问任何关键函数。

但狩猎指出,攻击者不仅可以通过打开加热和通风系统来排除电池的攻击者可能会禁用叶轮,但也可以使用驾驶日志来跟踪所有者。

“随着汽车制造商急于加入东西的互联网,安全不能成为事后的事项,我们告诉他们的东西,他们认为他们不足以首先足够重视,”他在Ablog帖子中写道。

亨特和其他人也表示关切的是,如果Appor Car SystemDeveloper是添加应用程序的特征 - 例如远程门房锁定或远程发动机禁用 - 并且假设应用程序本身是安全和安全的,那么可能会有严重的影响。这些可能包括盗窃汽车或其内容,甚至是事故。

大多数评论员表示汽车制造商ingeneral应该适用于安全和可信的原则,以获得安全的应用程序开发。

Tripwire的安全研究员Craig Young,表示,由于连接的汽车技术仍处于初期,可能会有许多隐私和安全相关问题。

“一般来说,任何服务 - 但特别是与连通汽车有关的服务 - 不应根据非私人数据进行身份验证,”他说。

据年轻人介绍,而不是VIN,日产应为汽车所有者提供认证令牌,以便登录并用作访问控制,以证明客户被授权在特定车辆上执行动作。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。