Автомобилем Nissan Leaf можно было управлять через интернет, зная его VIN26.02.2016 16:07

b9d226e998b345ecaa6c69c6710e3c5d.jpg

Если вы можете управлять своим автомобилем через интернет, то есть вероятность, что это сможет сделать и кто-то другой. По крайней мере, если фирмы вроде Nissan допускают такие грубые просчёты в системах безопасности.

VIN (Vehicle identification number, идентификационный номер транспортного средств) и веб-адрес для доступа к серверу Nissan — это всё, что нужно было знать об автомобиле Nissan Leaf для получения удалённого доступа к системе климат-контроля в салоне, а также к информации о состоянии автомобиля и к статистике. Хорошо, что не к рулевому управлению.
Так было до вечера среды, когда Nissan наконец-то отключила API для мобильного приложения-компаньона. Это произошло через месяц после того, как известный специалист по безопасности Трой Хант отправил отчёт о баге в Nissan. Он честно ждал столько времени, прежде чем огласить информацию для широкой публики.

Трой пишет, что уязвимость к тому времени уже начали эксплуатировать посторонние лица, судя по сообщениям на форумах.

Приложение для запроса информации с сервера использует метод GET, что позволяет отправлять запросы прямо через браузер.

GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21


С сервера приходит такой JSON-ответ с данными о системах автомобиля и статистикой.

aa584160d2b4419686429ed39a3c5c15.png

Другой запрос.

GET https://[redacted].com/orchestration_1111/gdc/RemoteACRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX


Возвращает ответ с информацией о статусе климат-контроля.

3ff5700b4e524452a9fbf12d903864b6.png

На экране мобильного приложения при этом возникает такая картинка с кнопкой включить/выключить климат-контроль.

ebded29e0dee414d9357e7015db9b8a6.png

Ещё одним GET-запросом можно «нажать» кнопку ВКЛ/ВЫКЛ.

GET https://[redacted].com/orchestration_1111/gdc/ACRemoteRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris


Дополнительно присылается некоторая персональная информация о владельце.

b71ec0f3cf644d54827744f7aaf94c2a.png

Трой Хант подчёркивает, что это даже не просчёт в системе безопасности, а вообще полное её отсутствие. Между мобильным приложением для управления автомобилем и сервером вообще не было никакой авторизации: фирменные API работают полностью анонимно, без токенов авторизации.

Ситуация усугубляется тем, что VIN-коды во всех автомобилях Nissan Leaf отличаются только пятью последними символами, так что GET-запросы можно отправлять перебором кодов, например, из программы Burp.

35191ce9ff1e4129864d688c76c7766b.png

Трой Хант и сам является владельцем Nissan Leaf, так что он выразил надежду, что компания всё-таки исправит этот баг и возобновит работу сервиса удалённого мониторинга автомобиля с мобильного приложения.

© Geektimes