Si puede conducir su automóvil a través de Internet, existe la posibilidad de que alguien más pueda hacerlo. Al menos si empresas como Nissan cometen errores de cálculo tan graves en los sistemas de seguridad.El VIN (número de identificación del vehículo) y la dirección web para acceder al servidor Nissan eran todo lo que necesitaba saber sobre el Nissan Leaf para obtener acceso remoto al sistema de control climático en la cabina, así como información sobre el estado. coche y estadísticas. Lo bueno es que no a la dirección.Eso fue hasta el miércoles por la noche, cuando Nissan finalmente apagó la API para la aplicación móvil complementaria . Esto sucedió un mes después de que un conocido especialista en seguridad, Troy Hunt, enviara un informe de error a Nissan. Honestamente esperó tanto tiempo antes de publicar la información al público en general.Troy escribe que para ese momento personas no autorizadas ya habían comenzado a explotar la vulnerabilidad, a juzgar por los mensajes en los foros.La aplicación utiliza el método GET para solicitar información del servidor, lo que permite enviar solicitudes directamente a través del navegador.GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21
Desde el servidor viene una respuesta JSON con datos sobre sistemas de automóviles y estadísticas.
Otra solicitudGET https://[redacted].com/orchestration_1111/gdc/RemoteACRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX
Devuelve una respuesta con información del estado del control climático.
Al mismo tiempo, dicha imagen aparece en la pantalla de la aplicación móvil con el botón de control de clima activado / desactivado.
Una solicitud GET más puede "presionar" el botón ON / OFF.GET https://[redacted].com/orchestration_1111/gdc/ACRemoteRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris
Además, se envía cierta información personal sobre el propietario.
Troy Hunt enfatiza que esto ni siquiera es un error de cálculo en el sistema de seguridad, sino en general su completa ausencia. No había ninguna autorización entre la aplicación móvil para conducir un automóvil y el servidor: las API patentadas funcionan de forma completamente anónima, sin tokens de autorización.La situación se ve agravada por el hecho de que los códigos VIN en todos los automóviles Nissan Leaf difieren solo en los últimos cinco caracteres, por lo que las solicitudes GET se pueden enviar clasificando códigos, por ejemplo, desde el programa Burp .
El propio Troy Hunt es el propietario del Nissan Leaf, por lo que expresó su esperanza de que, sin embargo, la compañía repare este error y reanude la operación del servicio de monitoreo remoto del automóvil desde una aplicación móvil.