Уязвимость в приложении для управления электромобилем Nissan Leaf позволяет исчерпать заряд его батареи

ИБ-эксперт Трой Хант (Troy Hunt) обнаружил уязвимость в интерфейсе программирования приложений (API), используемом для управления электрическими автомобилями Nissan Leaf с помощью мобильных устройств. Эксплуатируя ошибку, злоумышленник может получить удаленный контроль над некоторыми функциями электрокара.

Исследователь обнаружил уязвимость во время проведения мастер-класса в Норвегии. Один из студентов Ханта, являвшийся владельцем Nissan Leaf, обратил внимание на интересный факт. Как оказалось, iOS-приложение, позволяющее управлять электромобилем с мобильного устройства, для аутентификации пользователя использует только идентификационный номер транспортного средства. Зная лишь номер, можно контролировать систему кондиционирования воздуха и получать информацию о скорости и уровне электрического заряда.

В ходе анализа API Хант обнаружил возможность доступа к автокондиционеру и данным без какой-либо аутентификации. Совместно с исследователем безопасности Скоттом Хелме (Scott Helme) он продемонстрировал, как путем эксплуатации уязвимости можно включить систему кондиционирования припаркованного электромобиля и тем самым исчерпать весь заряд его аккумулятора. По словам экспертов, ошибка в API не позволяет ни получать контроль над двигателем, ни открывать или закрывать двери.

Хант уведомил Nissan об уязвимости еще 23 января нынешнего года, однако компания до сих пор ее не исправила.