Nissan Leaf coches tienen API expuestas, pueden ser utilizadas indebidamente a través de Internet
Nissan LEAF, uno de los modelos de coches eléctricos de la compañía,
utiliza las API inseguras, para permitir a los usuarios controlar las
funciones de consulta y de sus coches, API que cuenta con ninguna
configuración de autenticación y se puede acceder por cualquier persona
con una conexión a Internet.
El Nissan LEAF es sinónimo de "Leading Más ecológico asequible coche de la familia" y es uno de los modelos de coches eléctricos de mayor éxito de Nissan. automóviles Hoja vienen con una aplicación móvil opcional que permite a sus propietarios puedan comprobar y controlar un conjunto limitado de funciones."Los usuarios de diferentes países descubrieron las API no protegidas"
El Nissan LEAF es sinónimo de "Leading Más ecológico asequible coche de la familia" y es uno de los modelos de coches eléctricos de mayor éxito de Nissan. automóviles Hoja vienen con una aplicación móvil opcional que permite a sus propietarios puedan comprobar y controlar un conjunto limitado de funciones."Los usuarios de diferentes países descubrieron las API no protegidas"
En los últimos meses, los usuarios que no tenían ninguna conexión entre ellos empezaron a descubrir que los puntos finales de API a la que esta aplicación móvil podría enviar comandos se quedaron sin protección por parte de Nissan y sus colaboradores que estaban a cargo de estos servidores.
Con sólo el VIN del coche (Vehicle Identification Number), un atacante podría crear una URL que cuando se accede dentro de un navegador que sea recuperar información sobre el coche o decirle al vehículo para ejecutar un comando.
Varios usuarios descubrieron que podían ver el estado de la batería de una hoja, decirle al coche para iniciar o detener la carga, activar / desactivar el sistema de aire acondicionado, e incluso recuperar información acerca de los viajes anteriores.
Todas estas solicitudes dependía de algunas opciones de configuración, lo que podría ser adivinadas o descubiertas a través de búsquedas en Internet, incluso números de bastidor, que en teoría debería ser privadas.
Nissan hizo una buena cosa sin embargo, al no permitir que la API para iniciar / detener el coche, o para bloquear / desbloquear las puertas. Además, la API no se filtre la información de identificación personal, sino simplemente algunos ajustes de automóviles."Nissan es consciente de los problemas, sin declaración de la compañía"
Las primeras personas que encuentran estos temas en los que los usuarios de un foro de auto canadiense. entonces el problema fue descubierto por un investigador de seguridad de Noruega, que dijo a Troy Hunt, propietario de la ¿He sido pwned? página web, que estaba en una conferencia en su país.
Después de confirmar la falta de cualquiera de los métodos de autenticación de usuario de la API, el Sr. Hunt contactarse Nissan el 23 de enero para informar a la compañía acerca de su problema.
En el momento de este artículo, las API Nissan LEAF siguen estando expuestos, pero el señor Hunt dice que hay un portal web donde los usuarios pueden ir y desactivar la función de gestión remota. Este portal reside en diferentes direcciones URL en función del país de origen del usuario.
No comments