Jika Anda dapat mengendarai mobil Anda melalui Internet, maka ada kemungkinan orang lain dapat melakukannya. Setidaknya jika perusahaan seperti Nissan membuat kesalahan perhitungan yang begitu besar dalam sistem keamanan.VIN (Nomor identifikasi kendaraan) dan alamat web untuk mengakses server Nissan adalah semua yang perlu Anda ketahui tentang Nissan Leaf untuk mendapatkan akses jarak jauh ke sistem kontrol iklim di kabin, serta informasi status mobil dan statistik. Untung tidak menyetir.Itu sampai Rabu malam, ketika Nissan akhirnya mematikan API untuk aplikasi seluler pendamping . Ini terjadi sebulan setelah spesialis keamanan terkenal, Troy Hunt, mengirim laporan bug ke Nissan. Dia jujur ββmenunggu begitu banyak waktu sebelum menerbitkan informasi kepada masyarakat umum.Troy menulis bahwa pada saat itu orang-orang yang tidak berwenang sudah mulai mengeksploitasi kerentanan, dilihat dari pesan-pesan di forum.Aplikasi menggunakan metode GET untuk meminta informasi dari server, yang memungkinkan pengiriman permintaan secara langsung melalui browser.GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21
Dari server datang seperti respon JSON dengan data pada sistem mobil dan statistik.
Permintaan lainGET https://[redacted].com/orchestration_1111/gdc/RemoteACRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX
Mengembalikan respons dengan informasi status kontrol iklim.
Pada saat yang sama, sebuah gambar muncul di layar aplikasi seluler dengan tombol on / off control iklim.
Anda juga dapat menekan tombol ON / OFF dengan permintaan GET lainnya.GET https://[redacted].com/orchestration_1111/gdc/ACRemoteRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris
Selain itu, beberapa informasi pribadi tentang pemilik dikirimkan.
Troy Hunt menekankan bahwa ini bukan kesalahan perhitungan dalam sistem keamanan, tetapi secara umum tidak ada sama sekali. Tidak ada otorisasi sama sekali antara aplikasi seluler untuk mengendarai mobil dan server: API eksklusif bekerja sepenuhnya secara anonim, tanpa token otorisasi.Situasi ini diperburuk oleh kenyataan bahwa kode VIN di semua mobil Nissan Leaf hanya berbeda dalam lima karakter terakhir, sehingga permintaan GET dapat dikirim dengan mengurutkan kode, misalnya, dari program Burp .
Troy Hunt sendiri adalah pemilik Nissan Leaf, jadi dia menyatakan harapan bahwa perusahaan akan tetap memperbaiki bug ini dan melanjutkan pengoperasian layanan pemantauan jarak jauh mobil dari aplikasi mobile.