Используя уязвимость в iOS-приложении, можно исчерпать заряд аккумулятора электромобиля Nissan Leaf

Эксперт в сфере информационной безопасности Трой Хант выявил уязвимость в интерфейсе программирования приложений (API), с помощью которого осуществляется управление электромобилями Nissan Leaf. Ошибка, позволяет злоумышленнику удаленно захватить контроль над частью функций электромобиля.

Уязвимость была обнаружена в ходе мастер-класса, который Хант проводил в Норвегии. Один из студентов Ханта, владевший автомобилем Nissan Leaf, заметил интересную особенность. iOS-приложение, которое позволяло управлять транспортным средством, используя мобильное устройство, применяло для аутентификации владельца только идентификационный номер электромобиля. Если злоумышленник знал номер, то он мог осуществлять контроль над системой кондиционирования воздуха и собирать данные о скорости и уровне электрического заряда.

Проводя анализ API, Хант выяснил, что для получения доступа к автокондиционеру и данным об электрическом заряде не нужна аутентификация. Вместе с исследователем информационной безопасности Скоттом Хелме он показал, как, используя уязвимость, можно активировать систему кондиционирования припаркованного электромобиля и в итоге истратить весь заряд его аккумулятора. Эксперты утверждают, что уязвимость в API не дает возможности получения контроля над двигателем или дверьми транспортного средства.

Хант проинформировал Nissan о находке 23 января, но уязвимость до сих пор не устранена.