Het is mogelijk om zonder autorisatie de klimaatcontrole van de Nissan Leaf op afstand te bedienen en om informatie over de auto te onderscheppen. Dat ontdekte beveiligingsonderzoeker Troy Hunt. Samen met een compagnon demonstreert hij de bevindingen.
Hunt ontdekte het lek tijdens een workshop die hij gaf in Noorwegen. Tijdens de workshop behandelt hij zestien verschillende manieren om in te breken op systemen waar ontwikkelaars rekening mee moeten houden. Een van de zaken die hij onder de loep neemt, is het onderzoeken, onderscheppen en besturen van api-requests tussen applicaties zoals op een smartphone en services die op een andere server draaien en iets uitlezen of aansturen. Dat is waar de workshop interessant begon te worden, schrijft hij op zijn blog.
Een van de aanwezigen bij de workshop ontdekte dat hij zijn Nissan Leaf ook zonder zijn Leaf-iPhone-app kon bedienen. Hij kon data uitlezen en de klimaatcontrole van zijn auto bedienen zonder de app. Na deze ontdekking, kwam Hunt erachter dat bevriende beveiligingsexpert Scott Helme toevallig ook in het bezit van een Leaf was, waarna ze een video opnamen om het probleem te laten zien.
Ze ontdekten dat het mogelijk was auto's van anderen binnen te dringen door de laatste vijf cijfers van het Vehicle Identification Number of VIN, te raden of te weten. Hunt zit in Australië en Helme zit in het noorden van Engeland. Door het complete proces te doorlopen dat Hunt tijdens zijn workshop met de deelnemer had ontdekt, konden ze de auto van Helme bedienen.
Door de data van de iPhone via een proxy te laten lopen via een programma op een pc, is het mogelijk erachter te komen hoe een mobiele app met de online service communiceert. Na het opstarten van de NissanConnect EV-applicatie is te zien waar de app mee verbindt. Een json-response laat vervolgens bepaalde informatie zien. In dit geval de accustatus en of de auto aangesloten is op het laadnetwerk. Wat de cursist opviel, is dat er geen identiteitsdata meegestuurd werd om te verifiëren dat het om de eigenaar van de auto gaat. Wel is er een VIN nodig, maar dat nummer is niet moeilijk te vinden of te raden.
Hoewel het uitlezen van een accustatus niet gezien zal worden als het uitlekken van privacygevoelige informatie, bleek het ook mogelijk te zijn om het userId en de resultKey te achterhalen. Met die informatie is het mogelijk de klimaatcontrole van de Leaf te bedienen. De onderzoekers konden alles uitvoeren zonder dat er ooit een authenticatiemoment was, zodoende is het mogelijk om dit alles volledig anoniem uit te voeren.
De bug is de afgelopen tijd al door meerdere personen ontdekt en op internet gepubliceerd, waardoor Hunt besloot dat hij zijn verhaal ook openbaar kon maken. Er zijn verschillende GitHub-repositories waarin de api wordt behandeld en er bestaat een forumpost over hoe de data in het smarthome-systeem Domoticz te integreren. Ondanks dat Nissan de bug nog niet heeft opgelost en heeft gevraagd te wachten met publiceren, wat om duidelijke redenen niet zo zinvol meer was, was Nissan erg snel en goed in het communiceren over de problematiek, schrijft Hunt. De service is inmiddels in verschillende landen offlinegehaald. De functies die nu niet meer werken via een mobiele telefoon, werken nog steeds in de auto zelf.
De problemen die de bug kan opleveren, zijn niet heel groot in vergelijking met bugs die de afgelopen jaren zijn gevonden bij andere auto's, zoals het op afstand kunnen laten remmen van auto's. Hunt verwijst zelf naar de mogelijke gevaren die zouden kunnen optreden als er een vergelijkbaar lek zou zitten in het door Volvo vrijgegeven plan om een auto met louter een app te openen.
Bron: Security.nl