在研究人员公开之后,日产在叶车应用程序安全缺陷
当安全研究员公开安全漏洞后,日产暂停了其Nissanconnect移动应用程序,但在他提醒汽车制造商后一个月。
当日产未能回应特洛伊亨特的警告时,他发现其他人正在讨论安全漏洞,他在他的研究结果上发表了一个博客。
Hunt能够与澳大利亚的Web浏览器一起使用Nissan Leaf Owner。
然后,狩猎能够远程打开座椅和方向盘和空调系统,并找到最近的旅程的所有者的注册用户名和距离。
这是可能的,因为Nissanconnect应用程序只需要用于访问的venicle识别号码(VIN),这意味着访问不限于汽车的所有者。
VINS通常在车窗上陷入困境,通常在最后五位数字中不同 - 这意味着攻击者可以编写脚本来完成所有可能的组合。
日产立即从安全专家遭到火灾,因为它未能包括任何机制来验证用户作为汽车所有者的机制。
大多数评论员敦促日产暂停应用程序,直到该公司现已完成,该公司现已完成。
“我们期待着尽快推出我们的应用程序的更新版本,”日产在一份声明中表示。
这款车说,当应用程序不可用时,在叶车和Env200电车模型中没有受到其他“关键驾驶元素”。
“全球司机可以继续使用他们的汽车安全,完全信心,”日产表示,补充说,自2010年以来已售出200,000多名叶电动汽车。
日产最初捍卫其无所作为,称安全缺陷没有代表安全风险,因为无法访问任何关键函数。
但狩猎指出,攻击者不仅可以通过打开加热和通风系统来排除电池的攻击者可能会禁用叶轮,但也可以使用驾驶日志来跟踪所有者。
“随着汽车制造商急于加入东西的互联网,安全不能成为事后的事项,我们告诉他们的东西,他们认为他们不足以首先足够重视,”他在Ablog帖子中写道。
亨特和其他人也表示关切的是,如果Appor Car SystemDeveloper是添加应用程序的特征 - 例如远程门房锁定或远程发动机禁用 - 并且假设应用程序本身是安全和安全的,那么可能会有严重的影响。这些可能包括盗窃汽车或其内容,甚至是事故。
大多数评论员表示汽车制造商ingeneral应该适用于安全和可信的原则,以获得安全的应用程序开发。
Tripwire的安全研究员Craig Young,表示,由于连接的汽车技术仍处于初期,可能会有许多隐私和安全相关问题。
“一般来说,任何服务 - 但特别是与连通汽车有关的服务 - 不应根据非私人数据进行身份验证,”他说。
据年轻人介绍,而不是VIN,日产应为汽车所有者提供认证令牌,以便登录并用作访问控制,以证明客户被授权在特定车辆上执行动作。