黑客可控制尼桑Leaf电动车非关键功能

不安全的API，使得知道汽车VIN(车辆识别号码)的任何人，能在任何地方通过互联网控制非关键功能，例如温度控制和电池充电管理等。 据Computerworld网站报道，两名安全研究人员——斯科特•赫尔默(Scott Helme)和特洛伊•亨特(Troy Hunt)通过利用尼桑提供的移动管理API(应用编程接口)，演示了尼桑Leaf电动汽车存在的安全缺陷。 不安全的API，使得知道汽车VIN(车辆识别号码)的任何人，能在任何地方通过互联网控制非关键功能，例如温度控制和电池充电管理等。另外，利用未经证实的API，黑客能获取汽车的可行驶里程数据。 一名安全专家发表博文称，“另外一个主要担忧是，汽车中的远程信息处理系统会泄露用户的所有历史行驶数据，也就是用户每次开车的详细信息，其中包括开车时间、行驶里程和行驶效率。鉴于黑客可以查看以往约2年的信息，他们能方便地了解用户驾车习惯，并预测用户离开家的时间。这类数据的收集和保护，应当在最大限度尊重用户隐私的原则下进行。” 黑客可通过挡风玻璃轻松地看到车辆识别号码。 Computerworld表示，赫尔默和亨特在博文中阐述了他们的一名合作伙伴发现的另外一处缺陷。亨特演示了对1万英里(16093公里)之外的赫尔默的尼桑Leaf的攻击，“合作伙伴的发现不仅能被用来通过互联网访问其Leaf和控制部分功能，他还能控制其他人的Leaf。” 能用来攻击Leaf的API支持Android或iOS平台。 尽管亨特称这些缺陷不会导致危及生命的危险情况，黑客可以利用NissanConnect应用完成消耗电池电量等攻击。 Computerworld称，在回复Computerworld的电子邮件中，尼桑表示它知晓“存在与NissanConnect EV应用有关的数据问题，会影响温度控制和充电功能状态”。 尼桑发言人写道，“我们的全球技术和产品团队正在开发永久性解决方案，我们承诺将优先解决这一问题，确保我们能通过当前和未来的应用向客户提供尽可能棒的体验。” 在接受BBC(英国广播公司)采访时，亨特称，尼桑应当采取的措施是关闭应用，“它必须让客户了解情况，老实说，开发补丁软件并不困难”。 来源：Computerworld

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/