25.2.2016 Ajoneuvot Nissan Leafin älypuhelinsovelluksessa tietoturvariski Jaa artikkeli: Facebook Jaa facebookissa X Jaa X:ssä LinkedIn Jaa LinkedInissä NissanConnect-älypuhelinsovelluksen aukon avulla hyökkääjä voi tarkastella auton tietoja ja säätää ilmastointia – vaikka toiselta mantereelta. Nissan Leafin etäohjaamiseen käytettävästä NissanConnect-sovelluksesta on löytynyt tietoturva-aukko. Vaikka aukko itsessään ei ole erityisen vaarallinen, se on uusin osoitus autovalmistajien laiskottelusta erityisesti verkottumistoimintojen tietoturvan toteutuksessa. Leafin tapauksessa NissanConnect-sovelluksella voi esimerkiksi tarkastella autolla kuljettua matkaa, tarkastaa akun lataustilanteen tai säätää auton ilmastointia. Nämä toiminnot ovat myös hakkerin käytettävissä mistä tahansa maailmaa Internetin avulla, paljasti tietoturvatutkija Troy Hunt keskiviikkona. Hunt lyöttäytyi yhteen toisen Leafilla ajavan tietoturvatutkijan, Scott Helmen, kanssa tutkiakseen NissanConnect-sovelluksen tietoturvaa. Tutkijat julkaisivat löytönsä kerrottuaan asiasta Nissanille yli kuukautta aiemmin. Nissan ei ole vielä julkisesti kommentoinut tietoturva-aukkoa, mutta oletettavasti NissanConnect-palvelu poistuu pian huoltotauolle ja älypuhelinsovellus saa lähiaikoina päivityksen aukon korjaamiseksi. Tekniikkamielisille kerrottakoon aukosta, että Nissanin palvelimet eivät tarkista HTTP GET-komennolla saapuvia yksinkertaisia ohjausviestejä mitenkään, joten hyökkääjän tarvitsee tietää kohteesta vain auton tuulilasista näkyvä valmistenumero. Mikäli HTTP-protokolla ei ollut koulussa valinnaisena kielenä, kerrottakoon, että tietoturvateknisesti hyökkäys on samaa tasoa kuin itsekirjoitetun lupalapun esittäminen yrityksen aulavartijalle. Troy Hunt kertoi Moottorille Twitterissä, että Leafien omistajat ovatkin tehneet selaimiinsa kirjanmerkkejä hallitakseen autoaan ilman sovellusta, kertoen omaa kieltään hyökkäyksen yksinkertaisuudesta. Toinen vaihtoehto olisi tehdä esimerkiksi tähän uutiseen klikattava linkki, jolla maahantuojan lehdistöauton istuinlämmitys menisi päälle. Jos olet Leafin omistajana huolissasi tietoturva-aukosta, voit poistaa autosi rekisteröinnin Nissanin You+Nissan tai CarWings-palvelusta kunnes vaara on ohi. Suurin haitta hyökkäyksen kohteeksi joutumisesta on akun latauksen haaskaaminen esimerkiksi ilmastointia käyttämällä. Auto myös osaa kertoa päivän aikana ajetut erilliset ajomatkat, mutta ei niiden paikkatietoa. Uutinen tulee harmillisesti vain pari päivää sen jälkeen, kun Nissan esitteli Leafin 30 kWh -version uusia NissanConnect-ominaisuuksia Mobile World Congressissa Barcelonassa. Tapahtumassa jättimäiseen laatikkoon paketoitu Leaf unboksattiin katsojien riemuksi. Mikäli unboxing ei ole ilmiönä tuttu, kyseessä on tuotepakkauksen sisällön julkinen esittely, yleisimmin YouTube-videolla. Viime vuonna tietoturvatutkijat Chris Valasek ja Charlie Miller demonstroivat Jeep Cherokeessä olleita tietoturva-aukkoja ottamalla haltuunsa jopa ajoneuvon jarrut kesken ajomatkan. Tällöin haavoittuvuus oli ajoneuvon UConnect-viihdejärjestelmän yhteydessä Sprint-mobiilioperaattorin kanssa. UConnect-haavoittuvuus oli myös osoitus siitä, että vaikka navigaattorin tai viihdejärjestelmän murtaminen ei kuulosta vakavalta, ongelmat kasautuvat nopeasti mikäli esimerkiksi hätäjarrutusavustin ei tarkista sille saapuvien komentojen alkuperää. Vaikka nyt saapuvat hyökkäysuutiset kertovat autovalmistajien haparoivista ensiaskelista verkottuneeseen maailmaan, on syytä olettaa, etteivät autojen tietoturva-aukkojen uutiset ole lähivuosina katoamassa mihinkään. Teksti: Aake Kinnunen Lähde: Jalopnik / TroyHunt.com / Nissan, kuva: Nissan Mainos (teksti jatkuu alla)Mainos päättyy Lue lisää Kaikki artikkelit 26.4.2024 Ajoneuvot Opel Grandland on nyt täysin uusi – luvassa lisää kokoa ja näköä sekä hurjia lupaava täyssähkömalli 25.4.2024 Ajoneuvot Nimi muutettu: Mazda 6 ei katoa, vaan muuttaa muotoaan – tällä kertaa kiinalaisena sähköautona 25.4.2024 Uutinen Polestar 4 kävi ensivisiitillä Suomessa – tältä näyttää auto ilman takalasia 25.4.2024 Ajoneuvot Lamborghini Urus SE kulkee 60 kilometriä sähköllä – ja pauhaa 800 hevosvoiman edestä 24.4.2024 Ajoneuvot Mercedes-Benz G580 with EQ Technology – ei nimi vuoden odotetuinta sähkömonsteria pahenna 24.4.2024 Uutinen Sähköautoista paljastunut yksi merkittävä ongelma – lähes joka viides hylätty katsastuksessa 23.4.2024 Uutinen Nuoret hirvieläimet etsivät nyt elinpaikkojaan – ja voivat poukkoilla liikenteessä 23.4.2024 Ajoneuvot 350 000 uutta kotia vuodessa – tätä kaikkea sopii odottaa bestseller BMW X3:n pian koittavalta uudistukselta 21.4.2024 Ajoneuvot Ford Mustang 60th Anniversary Package kunnioittaa alkuperäistä ja ainoaa muskeliautoa Jaa artikkeli: Facebook Jaa facebookissa X Jaa X:ssä LinkedIn Jaa LinkedInissä Luetuimmat Vuorokausi Viikko Kuukausi 24.4.2024 Uutinen Sähköautoista paljastunut yksi merkittävä ongelma – lähes joka viides hylätty katsastuksessa 25.4.2024 Koeajo Koeajo: Suzuki Swift – tonnikeiju tarjoaa halvalla hauskaa 25.4.2024 Ajoneuvot Nimi muutettu: Mazda 6 ei katoa, vaan muuttaa muotoaan - tällä kertaa kiinalaisena sähköautona 24.4.2024 Yleinen Uusi Tesla Model 3 Ludicrous on kolmessa sekunnissa nollasta sataan kiihtyvä perheauto, jonka saa alle 60 000 eurolla - naurettavaa 25.4.2024 Uutinen Polestar 4 kävi ensivisiitillä Suomessa – tältä näyttää auto ilman takalasia 24.4.2024 Uutinen Sähköautoista paljastunut yksi merkittävä ongelma – lähes joka viides hylätty katsastuksessa 22.4.2024 Käytetyt erikoisuudet Käytetyt erikoisuudet: Simca Chambord V8 - ”kaunis mutta voimaton” 19.4.2024 Ajoneuvot Suomen presidentin käyttöön ensimmäistä kertaa koskaan Audi - mutta onko 1,1 miljoonan euron A8 L Security suhteessa edes kallis? Meillä on keinoja selvittää 19.4.2024 Koeajo Maistiainen: Škoda Kodiaq – suosikki nyt lataushybridinä alkaen 48955 euroa 23.4.2024 Käyttötesti käytetyllä Käyttötesti käytetyllä: Mercedes-Benz S124 tyylikkäämmäksi tummennuskalvojen poistolla 1.4.2024 Nimi muutettu Nimi muutettu: Toyota Yariksen avolavaversio ei ole ollenkaan hassumpi 14.4.2024 Koeajo Maistiainen: Dacia Duster on nyt kokonaan uusi ja osoittaa tietä koko merkille 17.4.2024 Nimi muutettu Nimi muutettu: tältä olisi näyttänyt ainutlaatuinen Porschen versio Lada 2103:sta, jota VAZ ei lopulta hyväksynyt 9.4.2024 Autoilu Auton kilometrimittaria rukattu – mistä huijaus paljastuu? 2.4.2024 Ajoneuvot 7 vuotta vanha hybridi-Volkkari hajosi takuuaikana – korjaus kesti kuukausia, syntyi yli 14 000 euron lasku