如果您可以通过互联网驾驶汽车,那么就有可能其他人可以这样做。至少如果像日产这样的公司在安全系统中做出如此严重的错误估计。您仅需要了解VIN(车辆识别号)和用于访问Nissan服务器的网址,即可远程访问机舱中的气候控制系统以及状态信息汽车和统计资料。好东西不要转向。直到星期三晚上,日产终于关闭了随行移动应用程序的API。一个月后,著名安全专家Troy Hunt向Nissan发送了错误报告。老实说,他等了很长时间才将信息发布给公众。特洛伊(Troy)写道,到那时,根据论坛上的消息判断,未经授权的人已经开始利用此漏洞。该应用程序使用GET方法从服务器请求信息,该服务器允许直接通过浏览器发送请求。GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21
服务器发出来自车辆系统和统计数据的JSON响应。
另一个要求。GET https://[redacted].com/orchestration_1111/gdc/RemoteACRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX
返回带有气候控制状态信息的响应。
同时,通过打开/关闭气候控制按钮,这样的图片会出现在移动应用程序的屏幕上。
您也可以在另一个GET请求中按ON / OFF按钮。GET https://[redacted].com/orchestration_1111/gdc/ACRemoteRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris
此外,还会发送有关所有者的一些个人信息。
特洛伊·亨特(Troy Hunt)强调,这甚至不是安全系统中的错误计算,而是通常完全不存在。用于驾驶汽车的移动应用程序和服务器之间完全没有授权:专有API完全匿名运行,没有授权令牌。所有日产聆风汽车的VIN代码仅在最后五个字符不同,这一事实使情况更加恶化,因此可以通过分类代码(例如,从Burp程序)发送GET请求。
Troy Hunt本人是Nissan Leaf的所有者,因此他表示希望该公司仍会修复此错误,并从移动应用程序恢复汽车的远程监控服务的运行。