陈丹的博客尽管和去年夏季在克莱斯勒Uconnect系统发现的漏洞相比,在日产(Nissan)电动汽车Leaf上发现的漏洞并不是灾难性的,但是依然能够影响驾驶员的个人隐私和安全。安全专家Troy Hunt近日发现Leaf配套应用程序NissanConnect存在系统BUG,允许其他任何人访问驾驶员的行车历史轨迹并扰乱车辆的供暖和空调系统,而且在攻击过程中黑客并不需要靠近车辆,只需要知道位于车辆前挡风玻璃的车辆识别号就能发起攻击。
Hunt和他的同事Scott Helme在后者的Leaf汽车上演示了入侵的整个过程,并将其分享至YouTube网络。他们知道Helme的车辆识别号(VIN),但是在现实生活发起的攻击中,黑客只需要自动化猜测就能尝试和获取全球的车辆的控制权限。
NissanConnect应用能够允许驾驶员远程对车辆进行丰富的操作,包括开启/关闭车辆的风扇,这样当驾驶员进入车辆之前能够在夏天让车内保持凉爽在冬天保持温暖。而该应用存在的漏洞能够让任何人下达命令,能够通过互联网的任意位置对车辆下达命令。
尽管无法远程控制车辆的启动等其他功能,但是攻击者能够破坏Leaf的电池,当车辆切换至汽油驱动的时候攻击者能够将电池导流至引擎,这样车辆就可能会发生抛锚。
未经允许不得转载:陈丹的博客 » [视频]日产Leaf配套应用存漏洞 只需VIN可远程破坏电池