26.02.2016 09:57
alizar 15 7500 Источник


Если вы можете управлять своим автомобилем через интернет, то есть вероятность, что это сможет сделать и кто-то другой. По крайней мере, если фирмы вроде Nissan допускают такие грубые просчёты в системах безопасности.

VIN (Vehicle identification number, идентификационный номер транспортного средств) и веб-адрес для доступа к серверу Nissan — это всё, что нужно было знать об автомобиле Nissan Leaf для получения удалённого доступа к системе климат-контроля в салоне, а также к информации о состоянии автомобиля и к статистике. Хорошо, что не к рулевому управлению.

Так было до вечера среды, когда Nissan наконец-то отключила API для мобильного приложения-компаньона. Это произошло через месяц после того, как известный специалист по безопасности Трой Хант отправил отчёт о баге в Nissan. Он честно ждал столько времени, прежде чем огласить информацию для широкой публики.

Трой пишет, что уязвимость к тому времени уже начали эксплуатировать посторонние лица, судя по сообщениям на форумах.

Приложение для запроса информации с сервера использует метод GET, что позволяет отправлять запросы прямо через браузер.

GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21

С сервера приходит такой JSON-ответ с данными о системах автомобиля и статистикой.



Другой запрос.

GET https://[redacted].com/orchestration_1111/gdc/RemoteACRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX

Возвращает ответ с информацией о статусе климат-контроля.



На экране мобильного приложения при этом возникает такая картинка с кнопкой включить/выключить климат-контроль.



Ещё одним GET-запросом можно «нажать» кнопку ВКЛ/ВЫКЛ.

GET https://[redacted].com/orchestration_1111/gdc/ACRemoteRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris

Дополнительно присылается некоторая персональная информация о владельце.



Трой Хант подчёркивает, что это даже не просчёт в системе безопасности, а вообще полное её отсутствие. Между мобильным приложением для управления автомобилем и сервером вообще не было никакой авторизации: фирменные API работают полностью анонимно, без токенов авторизации.

Ситуация усугубляется тем, что VIN-коды во всех автомобилях Nissan Leaf отличаются только пятью последними символами, так что GET-запросы можно отправлять перебором кодов, например, из программы Burp.



Трой Хант и сам является владельцем Nissan Leaf, так что он выразил надежду, что компания всё-таки исправит этот баг и возобновит работу сервиса удалённого мониторинга автомобиля с мобильного приложения.

Комментарии (15)


  1. AlexanderS
    26.02.2016 13:26
    #9052552
    +7

    Что же это за тенденция-то такая в мире творится? Люди находят баги и уязвимости. Порой серьезные! Добросовестно приватно сообщают о них разработчику. А тому просто пофиг. Пофиг настолько, что только открытая публикация и, как следствие, репутационные потери, заставляют их что-то сделать.

    Ну а доступ на борт только по VIN… ведь кто-то же придумал это… это даже слов нет… рукалицо короче)


    1. goodwind
      26.02.2016 13:59
      #9052664
      +2

      Ну а доступ на борт только по VIN… ведь кто-то же придумал это…

      А некоторые производители винкод прям под лобовым пишут… Даже перебирать не надо


      1. NetBUG
        26.02.2016 21:41
        #9053986

        Это не «некоторые производители», а требование NHTSA для сертификации в США.
        Пойду схожу на парковку, у нас штук пять Leaf'ов стоит там днём.


      1. Propheta13
        29.02.2016 13:16
        #9059206

        Как написали комментом вьіше — требование для сертификации. Конкретная причина — "бумажная безопастность", тобишь возможность бьістро проверить соответствует ли шасси регистрационньім документам.


    1. tendium
      26.02.2016 14:45
      #9052786

      Называется это «эффективный менеджмент», а именно — строится такая структура компании, что донести до нужных людей информацию почти невозможно, потому что тебя фильтруют куча промежуточных звеньев. Даже если каждое звено сработает и передаст информацию о проблеме на следующий уровень, то на это уходит значительное время. Порой, время реакции на изначальный запрос может быть несколько дней, и на каждый уточняющий вопрос-ответ столько же. И вроде как всё сделано правильно, чтобы программистам никто не досаждал, не мешал делать свою основную работу, но как результат, получается, что только публичный скандал может ускорить процесс.


      1. usego
        26.02.2016 15:19
        #9052950

        Одной информации мало, нужен ещё процесс и кэшфлоу. Очень многие заказчики до сих пор относятся к софту как к чему-то, пишушемуся один раз под ключ без дальнейшего саппорта и естественно, оплаты этого саппорта.


  1. user343
    26.02.2016 15:25
    #9052972
    +4

    И первый залетевший дятел хакер в столовой разрушит IoT цивилизацию.


    1. AllexIn
      26.02.2016 21:47
      #9054004

      Смею надеятся, что только ту часть IoT цивилизации, которая пользуется закрытым софтом.


      1. user343
        27.02.2016 16:04
        #9055650

        Хакеры с аппаратными "кольтами" могут уравнять все запрограммированные устройства с кирпичами (brick mode).

        "Разрушение инфраструктуры современного постиндустриального общества оказывается намного более эффективным средством противодействия, чем ведение обычных боевых действий. Электронизация и зависимость инфраструктуры любого высокоразвитого
        государства от компьютеров существенно облегчает задачу разрушения инфраструктуры, поскольку такое разрушение может быть не физическое, а виртуальное. Некий парадокс заключается в том, что чем более развита инфраструктура страны, тем больше она пострадает при таком виртуальном воздействии."

        http://www.gurevich-publications.com/articles_pdf/new_reality.pdf — "Ручной генератор мощного направленного электромагнитного излучения частотой 95 ГГц, разработанный компанией Raytheon."


  1. xirahai
    26.02.2016 15:35
    #9053004

    Интересно а каким образом автомобиль связан с интернетом? Сети wifi и за рубежом далеко не полное покрытие. Через спутник слишком дорого. Методом исключения остаются сотовые сети. Поэтому может надо было просто вынуть симку, пока не исправят уязвимость?


    1. Dmitry_Th
      26.02.2016 17:53
      #9053506

      Очевидно, вайфай влалельца дома, возле которого он заряжается.

      PS безопасность японских машин в авариях аналогично тестируется, после скандалов?


  1. mrigi
    26.02.2016 16:47
    #9053334

    «Берём количество выпущенных машин — А, умножаем на вероятную долю машин с неисправностями — B, и умножаем произведение на стоимость урегулирования вопроса без суда — С.

    A умножить на B умножить на C равно X. Если X меньше затрат на доработку, то возврата не будет.

    — В какой компании вы работаете?
    — В крупной.» ©


    1. Zavtramen
      26.02.2016 19:06
      #9053712

      Еще надо умножить на D — долю из числа владельцев машин с неисправностями, которые обратятся с жалобой в компанию


  1. Sleepwalker_ua
    26.02.2016 19:04
    #9053704

    Вспомнилась статья, где обсуждали взломы вообще и Теслы в частности.
    https://geektimes.ru/post/270380/#comment_8987392
    Я тогда говорил, что у любого производителя найдется косяк, и то что теслой можно управлять удаленно — не баг, а фича на данный момент (хотя и очень спорная). и вот пожалуйста, еще одна дыра у именитого производителя, которому уже лет 70 штампует авто…


  1. Ezhyg
    27.02.2016 00:35
    #9054238

    Alizar Онотоле, я понимаю, что ты, как бы «журналист», но сочетание двух слов «Автомобилем» и «управлять», в одном предложении или фразе, редко подразумевает управление отдельными узлами, вроде стеклоподъёмников или климат-контроля. Иначе любая сигналка с автозапуском, по таймеру или удалённым прогревом — тоже будет «удалённое управление автомобилем».