Nissan用叶电动汽车应用程序打破基本安全规则
日产从安全专家遭到破坏基本安全规则的火灾,使其叶电动车易于破解Web浏览器。
澳大利亚的安全研究员特洛伊捕除了黑客如何劫持车辆的供暖和空调系统,识别他们最近的旅程中的所有者和间谍。
Hunt确认日产Connect应用程序只需要访问的车辆识别号码(VIN),这意味着任何了解或枚举车辆VIN的人都可以获得访问。
VINS通常在车窗上陷入困境,通常仅在最后五位数字中不同 - 这意味着攻击者可以编写脚本来完成所有可能的组合。
黑客可以利用缺乏认证,消耗汽车的电池和入侵所有者的隐私 - 但日产表示没有安全影响,并且由于联系公司,因此没有行动。
然而,该公司在一份声明中表示,它“致力于解决优先问题”,其全球技术和产品团队正在致力于“永久和强大”的解决方案。
亨特说,虽然黑客不会影响车辆的驾驶控制,但是,这很糟糕,因为这种方式的车辆控制的易于获取不容易变得更加简单 - 这是深刻的微不足道的“。
“随着汽车制造商急于加入互联网的东西热潮,安全不能是一个事后的事后,我们被告知他们认为他们在第一个地方没有认真对待它,”他写道博客帖子。
在他发现加拿大的叶子用户发现这个问题并在开放的在线论坛上讨论它后,他决定通过他的发现。
亨特说,直到日产修复这个问题,日产叶业主应该禁用他们的日产Carwings远程信息处理账户。从未注册的人没有风险。
从澳大利亚的网络浏览器中访问英国的换档业主,通过访问英国的帐户确认了安全风险。
他远程打开座椅和方向盘加热和空调系统,并找到了所有者的注册用户名和距离最近的旅程。然而,他说他无法找到位置数据,也无法在运动中访问汽车系统。
虽然狩猎认为日产应更加认真地承担这个问题,但他称赞该公司让安全研究人员很容易迅速到达合适的人民。
“他们是接受的,而且 - 虽然我显然将很喜欢快速看到这一点 - 与大多数道德披露经历的安全研究相比,日产是典范的,”他写道。
安全研究人员经常抱怨公司通常没有负责任的披露程序,使得难以讨论他们发现的安全缺陷。
在2015年8月在拉斯维加斯的Thedef Con 23hacker会议上,Security公司Rapid7每周告诉电脑 - 尽管安全漏洞的重要性披露 - 可以挑战与非安全公司的沟通渠道挑战。
安全公司Alienvault高级副总裁Richard Kirk表示,缺乏用户认证是最基本的安全错误之一。
“很难了解像日产的主要全球汽车制造商如何允许一个应用程序以这样的方式设计,并且在将应用程序放在App Store中之前,不执行某种程度的应用程序安全评估和穿透测试,”他说。
Kirk表示,如果Appor Car SystemDevelopers添加应用功能 - 例如远程门单锁定或远程发动机禁用 - 并假设应用程序本身是安全和安全的,那么可能存在严重的影响,包括汽车或其内容的盗窃,甚至是事故。
支持互联网的汽车业主应采取与数字生活的其他方面相同的预防措施 - 包括使用独特的安全密码而不是分享它们 - 他建议。
然而,不幸的是,汽车的所有者不能减轻尼斯曼康连接应用的安全缺陷,因为它是后端系统的一部分而不是应用程序本身,“他说。
Kirk表示,汽车制造商ingeneral应该适用试验和可信赖的原则以获得安全的应用程序开发,并加入了许多书籍在该主题上被释放了许多书籍,并且在这方面提供了众多的安全公司。
狩猎注意事项说明他的报告在同一周内巧合于日产在GSMA移动世界大会上公布了一片修订的叶子。
“显然,像许多汽车制造商一样,他们的未来涉及在他们的车辆中更大的连接力,”他说。
据亨特说,在添加到Nissanconnect应用程序的功能列表中,应用程序能够远程显示地图上的车辆位置并分析驾驶。
“虽然有明显的upsides来到有权访问这些功能的驱动程序,但看到他们在当前应用程序的安全实施中呈现的是很明显的原因非常令人担忧,”他写道。
Mark James,网络安全公司的安全专家ESET表示,如果他们真的需要将他们的汽车连接到互联网,请考虑互联网连通汽车的用户。
“最可能的答案是”否“,但如果您这样做,请确保您定期检查您发送的信息,大多数可以在每次更新后打开和关闭功能,然后在每次更新后检查功能。
“我们不再走向互联网连接世界,我们现在正在向下奔向任何东西,并在不考虑安全和安全的情况下连接的一切。”
他说,虽然它可能是不方便的才能在寒冷的早晨打开加热的座椅或方向盘,但它“比其他一部分私人生活更好地看到和掠夺”。
詹姆斯表示,汽车制造商应该了解,如果他们要从任何地方将车辆连接到互联网,他们必须确保身份验证。
“你用来销售汽车的每一个新功能或尖端优势的特点都必须从”如果被妥协的角度遭到损害的“怎么样,”他说。
“是的,我们希望我们的智能手机做一切 - 但我们也希望感到安全和安全。如果您的数据受到损害,并且您失去了贵重用户的信任,则具有远程功能的小优点将淡入微不足道。“
根据詹姆斯的说法,因为黑客无法直接与车辆沟通,所以不应通过暂停服务来阻止访问,直到它安全使用。
Craig Young,Tripwire的安全研究员表示,随着Connected汽车技术仍在其初期,很可能会有许多隐私和安全相关的问题。
“一般来说,任何服务 - 但特别是与连通汽车有关的服务 - 不应根据非私人数据进行身份验证,”他说。
据年轻,而不是VIN,日产应为汽车所有者提供认证令牌来登录并用作访问控制,以证明客户端被授权在特定车辆上执行操作。
“我建议日产考虑实施双因素身份验证以供增加保护。这可以像具有更多涉及的首次设置一样简单,其中移动设备被发出一个设备令牌,随后将在连接到服务时与用户名和密码一起发送,“他说。