Эксперт в сфере информационной безопасности Трой Хант выявил уязвимость в интерфейсе программирования приложений (API), с помощью которого осуществляется управление электромобилями Nissan Leaf. Ошибка, позволяет злоумышленнику удаленно захватить контроль над частью функций электромобиля.
Уязвимость была обнаружена в ходе мастер-класса, который Хант проводил в Норвегии. Один из студентов Ханта, владевший автомобилем Nissan Leaf, заметил интересную особенность. iOS-приложение, которое позволяло управлять транспортным средством, используя мобильное устройство, применяло для аутентификации владельца только идентификационный номер электромобиля. Если злоумышленник знал номер, то он мог осуществлять контроль над системой кондиционирования воздуха и собирать данные о скорости и уровне электрического заряда.
Проводя анализ API, Хант выяснил, что для получения доступа к автокондиционеру и данным об электрическом заряде не нужна аутентификация. Вместе с исследователем информационной безопасности Скоттом Хелме он показал, как, используя уязвимость, можно активировать систему кондиционирования припаркованного электромобиля и в итоге истратить весь заряд его аккумулятора. Эксперты утверждают, что уязвимость в API не дает возможности получения контроля над двигателем или дверьми транспортного средства.
Хант проинформировал Nissan о находке 23 января, но уязвимость до сих пор не устранена.