Se você pode dirigir seu carro pela Internet, há uma chance de que alguém o faça. Pelo menos se empresas como a Nissan fizerem erros de cálculo tão grosseiros nos sistemas de segurança.O número de identificação do veículo (VIN) e o endereço da Web para acessar o servidor Nissan eram tudo o que você precisava saber sobre o Nissan Leaf para obter acesso remoto ao sistema de controle climático na cabine, além de informações de status carro e estatísticas. Coisa boa para não dirigir.Isso foi até quarta-feira à noite, quando a Nissan finalmente desativou a API do aplicativo móvel complementar . Isso aconteceu um mês depois que um conhecido especialista em segurança, Troy Hunt, enviou um relatório de bug à Nissan. Ele honestamente esperou muito tempo antes de publicar as informações para o público em geral.Troy escreve que, naquela época, pessoas não autorizadas já haviam começado a explorar a vulnerabilidade, a julgar pelas mensagens nos fóruns.O aplicativo usa o método GET para solicitar informações do servidor, o que permite o envio de solicitações diretamente pelo navegador.GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21
Do servidor vem uma resposta JSON com dados sobre sistemas e estatísticas de automóveis.
Outro pedido.GET https://[redacted].com/orchestration_1111/gdc/RemoteACRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX
Retorna uma resposta com informações de status de controle climático.
Ao mesmo tempo, uma imagem aparece na tela do aplicativo móvel com um botão liga / desliga de controle de temperatura.
Você também pode pressionar o botão ON / OFF com outra solicitação GET.GET https://[redacted].com/orchestration_1111/gdc/ACRemoteRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris
Além disso, algumas informações pessoais sobre o proprietário são enviadas.
Troy Hunt enfatiza que esse não é um erro de cálculo no sistema de segurança, mas em geral sua completa ausência. Não havia nenhuma autorização entre o aplicativo móvel para dirigir um carro e o servidor: as APIs proprietárias funcionam de forma completamente anônima, sem tokens de autorização.A situação é agravada pelo fato de os códigos VIN em todos os carros Nissan Leaf diferirem apenas nos últimos cinco caracteres; portanto, as solicitações GET podem ser enviadas por códigos de classificação, por exemplo, do programa Burp .
O próprio Troy Hunt é o proprietário do Nissan Leaf, por isso expressou esperança de que a empresa, no entanto, conserte esse bug e retome a operação do serviço de monitoramento remoto do carro a partir de um aplicativo móvel.