Nissan Leaf hackable genom osäkra API: er

Säkerhet forskare Scott Helme och Troy Hunt har visat sårbarheter i Nissan Leaf fjärrhantering API som gör vem som helst med VIN-nummer av bilen för att komma åt vissa funktioner av den från var som helst över Internet.

Attacken beskrivs i ett blogginlägg från Hunt och visas i den inbäddade videon nedan. Hunt bor i Australien och Helme i norra England, över 10.000 miles från varandra, vilket understryker den “stora avstånden” fjärr attack.

Nissan har en mobil app för Apple och Android-enheter för att ge kunderna möjlighet att få tillgång till dessa funktioner. Inspirerad av säkerhetsutbildning hade han med Hunt, Helme sökte programmering av sin Nissan Leaf och fann API den använder öppen och icke autentiserad. Nyckeln är frånvarande bilen avstängd under attacken.

Nu mer än någonsin, toymakers och smarta tillverkare hem enhet måste sätta säkerheten först.

De dokumenterade funktioner är begränsade, app tillåter användare att

Det finns inga självklart farliga API som “ReleaseBreaks” men dessa är endast API som används av de dokumenterade delar av appen. Det kan finnas andra.

Alla Nissan Leaf dela en VIN-prefix av “SJNFAAZE0U60” med de senaste 5 tecken unika för varje. För att komma åt API du behöver veta hela VIN.

Hunt säger att han informerade Nissan sårbarhet januari 23. De har erkänt den och säger att de arbetar på en lösning, men har inte släppt en ännu.

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Kontrollera batteriladdningstillstånd, Starta laddningen, kontrollera när batteriladdningen kommer att slutföra, Se beräknas driving range, Slå på eller av klimatanläggning

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer