Хакер взломал Nissan Leaf с другого конца планеты
Для взлома оказалось достаточно выйти в интернет с помощью обычного браузера и заранее знать идентификационный номер (VIN) конкретного электромобиля.
Хакерам удалось перехватить управление автомобилем
Изучив алгоритм работы фирменного мобильного приложения NissanConnect EV, хакер выяснил, что приложение позволяет отправлять запросы через обычный браузер.
Оно запрашивает у серверов Nissan доступ к бортовым системам автомобиля, при этом запрос включает в себя VIN в адресной строке.
Приложение позволяет управлять климат-контролем, зарядом аккумуляторной батареи и фиксирует историю поездок электромобиля.
Злоумышленник может удалённо включать кондиционер или печку, отключить зарядное устройство и получить доступ к подробной истории поездок — когда и куда ездил хозяин машины.
Взлом можно осуществить из любой точки земного шара и получить доступ к любому Nissan Leaf: Трой взломал из Австралии электромобиль своего приятеля, который находился в Великобритании.
Идентификационный номер автомобилей, согласно требованиям законодательства, в обязательном порядке указывается в окошке под лобовым стеклом, поэтому его легко узнать.
Хант отправил подробный отчёт об уязвимости специалистам компании Nissan, чтобы они исправили работу приложения.