Автомобилем Nissan Leaf можно было управлять через интернет, зная его VIN

в 9:57, , рубрики: api, Burp, Nissan Leaf, Интернет вещей, информационная безопасность

Автомобилем Nissan Leaf можно было управлять через интернет, зная его VIN - 1

Если вы можете управлять своим автомобилем через интернет, то есть вероятность, что это сможет сделать и кто-то другой. По крайней мере, если фирмы вроде Nissan допускают такие грубые просчёты в системах безопасности.

VIN (Vehicle identification number, идентификационный номер транспортного средств) и веб-адрес для доступа к серверу Nissan — это всё, что нужно было знать об автомобиле Nissan Leaf для получения удалённого доступа к системе климат-контроля в салоне, а также к информации о состоянии автомобиля и к статистике. Хорошо, что не к рулевому управлению.

Так было до вечера среды, когда Nissan наконец-то отключила API для мобильного приложения-компаньона. Это произошло через месяц после того, как известный специалист по безопасности Трой Хант отправил отчёт о баге в Nissan. Он честно ждал столько времени, прежде чем огласить информацию для широкой публики.

Трой пишет, что уязвимость к тому времени уже начали эксплуатировать посторонние лица, судя по сообщениям на форумах.

Приложение для запроса информации с сервера использует метод GET, что позволяет отправлять запросы прямо через браузер.

GET https://[redacted].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21

С сервера приходит такой JSON-ответ с данными о системах автомобиля и статистикой.

Автомобилем Nissan Leaf можно было управлять через интернет, зная его VIN - 2

Другой запрос.

GET https://[redacted].com/orchestration_1111/gdc/RemoteACRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX

Возвращает ответ с информацией о статусе климат-контроля.

Автомобилем Nissan Leaf можно было управлять через интернет, зная его VIN - 3

На экране мобильного приложения при этом возникает такая картинка с кнопкой включить/выключить климат-контроль.

Автомобилем Nissan Leaf можно было управлять через интернет, зная его VIN - 4

Ещё одним GET-запросом можно «нажать» кнопку ВКЛ/ВЫКЛ.

GET https://[redacted].com/orchestration_1111/gdc/ACRemoteRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris

Дополнительно присылается некоторая персональная информация о владельце.

Автомобилем Nissan Leaf можно было управлять через интернет, зная его VIN - 5

Трой Хант подчёркивает, что это даже не просчёт в системе безопасности, а вообще полное её отсутствие. Между мобильным приложением для управления автомобилем и сервером вообще не было никакой авторизации: фирменные API работают полностью анонимно, без токенов авторизации.

Ситуация усугубляется тем, что VIN-коды во всех автомобилях Nissan Leaf отличаются только пятью последними символами, так что GET-запросы можно отправлять перебором кодов, например, из программы Burp.

Автомобилем Nissan Leaf можно было управлять через интернет, зная его VIN - 6

Трой Хант и сам является владельцем Nissan Leaf, так что он выразил надежду, что компания всё-таки исправит этот баг и возобновит работу сервиса удалённого мониторинга автомобиля с мобильного приложения.

Автор: alizar

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js