Wenn Sie Ihr Auto über das Internet fahren können, besteht die Möglichkeit, dass dies jemand anderes tun kann. Zumindest wenn Firmen wie Nissan solche groben Fehleinschätzungen in Sicherheitssystemen vornehmen.Die Fahrgestellnummer (Fahrzeugidentifikationsnummer) und die Webadresse für den Zugriff auf den Nissan-Server waren alles, was Sie über den Nissan Leaf wissen mussten, um Fernzugriff auf das Klimatisierungssystem in der Kabine sowie Statusinformationen zu erhalten Auto und Statistik. Gut, nicht zu lenken.Das war bis Mittwochabend, als Nissan die API für die begleitende mobile App endgültig ausschaltete . Dies geschah einen Monat, nachdem ein bekannter Sicherheitsspezialist, Troy Hunt, einen Fehlerbericht an Nissan gesendet hatte. Er wartete ehrlich gesagt so lange, bevor er die Informationen der Öffentlichkeit veröffentlichte.Troy schreibt, dass zu diesem Zeitpunkt Außenstehende bereits begonnen hatten, die Sicherheitslücke auszunutzen, gemessen an den Nachrichten in den Foren.Die Anwendung verwendet die GET-Methode, um Informationen vom Server anzufordern, wodurch Anforderungen direkt über den Browser gesendet werden können.GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21
Vom Server kommt eine solche JSON-Antwort mit Daten zu Fahrzeugsystemen und Statistiken.
Eine weitere Anfrage.GET https://[redacted].com/orchestration_1111/gdc/RemoteACRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX
Gibt eine Antwort mit Statusinformationen zur Klimatisierung zurück.
Gleichzeitig erscheint ein solches Bild auf dem Bildschirm der mobilen Anwendung mit der Taste Klimatisierung ein / aus.
Sie können die EIN / AUS-Taste auch bei einer anderen GET-Anforderung drücken.GET https://[redacted].com/orchestration_1111/gdc/ACRemoteRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris
Zusätzlich werden einige persönliche Informationen über den Eigentümer gesendet.
Troy Hunt betont, dass dies nicht einmal eine Fehleinschätzung im Sicherheitssystem ist, sondern im Allgemeinen dessen völlige Abwesenheit. Es gab überhaupt keine Autorisierung zwischen der mobilen Anwendung zum Autofahren und dem Server: proprietäre APIs funktionieren vollständig anonym, ohne Autorisierungstoken.Die Situation wird durch die Tatsache verschärft, dass sich die VIN-Codes in allen Nissan Leaf-Fahrzeugen nur in den letzten fünf Zeichen unterscheiden, sodass GET-Anforderungen beispielsweise durch Sortieren von Codes aus dem Burp- Programm gesendet werden können .
Troy Hunt selbst ist der Besitzer des Nissan Leaf, daher äußerte er die Hoffnung, dass das Unternehmen diesen Fehler dennoch beheben und den Betrieb des Fernüberwachungsdienstes des Fahrzeugs über eine mobile Anwendung wieder aufnehmen wird.