2016/02/25

Conectividade remota do Nissan Leaf deixa qualquer pessoa controlar qualquer carro


O Nissan Leaf é um dos mais populares carros eléctricos no mercado, mas as suas capacidades de comunicação remota são uma verdadeira porta aberta que permite que qualquer desconhecido possa espiar e ajustar diversos parâmetros de qualquer carro.

Desta vez não estamos perante um caso tão dramático quanto o da Jeep, em que se podia interferir com a própria condução, mas o caso não deixa de ser grave - e ainda mais por não se limitar a ser uma "vulnerabilidade", mas sim uma total falta de segurança que nem sequer foi implementada.

Os donos de um Nissan Leaf podem aceder remotamente aos seus carros para verem coisas como o estado da carga da bateria, ou ajustar os parâmetros de climatização. O problema é que tudo isso está a ser feito sem qualquer autenticação, o que permite que qualquer pessoa possa ter total acesso a qualquer Nissan Leaf que tenha este serviço activado.

Quer isto dizer quem um hacker, sem qualquer dificuldade, poderia criar um script que fizesse todos os Leaf ajustarem o ar condicionado para as temperaturas mínimas possíveis (ou para o aquecimento máximo), ou obterem informações sobre os utilizadores de cada veículo (usernames, etc.) A Nissan foi informada desta falha antes da mesma ser revelada publicamente, mas embora tenha sido receptiva, não conseguiu dar resposta em tempo útil, tendo agora optado pela solução de emergência de desactivar o serviço até que o problema fique resolvido.

... Numa altura em que a segurança tem tido tantos incidentes mediáticos, como é possível imaginar que uma empresa como a Nissan se tenha "esquecido" de implementar qualquer segurança numa rede de acesso a estes veículos? (Esperemos que a Volvo tenha um pouco mais de atenção quando deixar abrir os carros via smartphone.)


2 comentários:

  1. Os fabricantes continuam a achar que o facto de ser uma app móvel e não um software comum, ou página web, lhes dá alguma segurança. Já era tempo de começarem a abrir a pestana para a realidade e para o nível em que anda a engenharia reversa.

    ResponderEliminar
  2. Já quando foi na pre-reserva dos primeiros LEAF (que envolvia 100€ ) havia um problema de segurança no site que qualquer pessoa que soubesse o telemovel e o nome de alguem que tivesse feito a reserva podia alterar e cancelar a mesma...
    No meu ver o ponto mais fraco do LEAF sempre foi a plataforma de infotainment que é fechada e baseada em microsoft, portanto é um sistema ultrapassado à nascença e com o passar do tempo ainda vai ficando mais obsoleto, por exemplo o sistema avisa das camaras de velocidade mas algumas estão mal posicionadas no mapa e não há forma de corrigir a posição...

    ResponderEliminar

[pub]