Nissan Leaf, одна из моделей электромобилей компании, использует опасные API, чтобы позволить пользователям подвергнуть сомнению и управлять особенностями своих транспортных средств. К этим API спорт никакие параметры настройки идентификации и может получить доступ любой с Подключением к Интернету.

Nissan Leaf обозначает «Продвижение Безвредного для окружающей среды Доступного Семейного автомобиля» и является одной из самых успешных моделей электромобилей Ниссана. Автомобили ЛИСТА идут с дополнительным мобильным приложением, которое позволяет его владельцам проверять и управлять ограниченным набором особенностей.

Пользователи в разных странах обнаружили незащищенные API

В течение прошлых нескольких месяцев пользователи, у которых не было связи между ними, начали обнаруживать, что конечные точки API, в которые это мобильное приложение пошлет команды, оставили незащищенными Ниссан и его сотрудники, которые ответили за эти серверы.

Только с VIN автомобиля (Идентификационный номер транспортного средства) нападавший мог обработать URL, который, когда получено доступ в браузере, или восстановит информацию об автомобиле или скажет транспортному средству выполнять команду.

Многочисленные пользователи обнаружили, что видели статус батареи ЛИСТА, скажите автомобилю начинать или прекращать заряжать, становиться включения - выключения система кондиционирования воздуха, и даже восстанавливать информацию о предыдущих поездках.

Все эти запросы зависели от нескольких параметров настройки, которые могли быть предположены или обнаружены через интернет-поиски, даже VINs, который, в теории, должен быть частным.

Ниссан сделал хорошую вещь, тем не менее, не позволив API начать/остановить автомобиль или захватить/открыть двери. Кроме того, API не пропускает личные данные, но просто некоторые автомобильные параметры настройки.

Ниссан знает о проблемах, никаком заявлении от компании

Первые люди, которые найдут эти проблемы, были пользователями канадского авто форума. Проблема была тогда обнаружена норвежским исследователем безопасности. Он, в свою очередь, сказал Трою Ханту, владельцу меня Pwned? веб-сайт, кто был на конференции в его стране.

После подтверждения отсутствия API любых пользовательских методов идентификации г-н Хант связался с Ниссаном 23 января, чтобы сообщить компании о ее проблеме.

Во время писания этой статьи все еще выставлены API Nissan Leaf, но г-н Хант говорит, что есть веб-портал, куда пользователи могут пойти и дезактивировать отдаленную функцию управления. Этот портал проживает в различных URL на основе страны происхождения пользователя.

Автомобили Nissan Leaf Выставили API, Может быть Злоупотреблен через Интернет Видео игры