25.2.2016 Ajoneuvot Nissan Leafin älypuhelinsovelluksessa tietoturvariski Jaa artikkeli: Facebook Jaa facebookissa X Jaa X:ssä LinkedIn Jaa LinkedInissä NissanConnect-älypuhelinsovelluksen aukon avulla hyökkääjä voi tarkastella auton tietoja ja säätää ilmastointia – vaikka toiselta mantereelta. Nissan Leafin etäohjaamiseen käytettävästä NissanConnect-sovelluksesta on löytynyt tietoturva-aukko. Vaikka aukko itsessään ei ole erityisen vaarallinen, se on uusin osoitus autovalmistajien laiskottelusta erityisesti verkottumistoimintojen tietoturvan toteutuksessa. Leafin tapauksessa NissanConnect-sovelluksella voi esimerkiksi tarkastella autolla kuljettua matkaa, tarkastaa akun lataustilanteen tai säätää auton ilmastointia. Nämä toiminnot ovat myös hakkerin käytettävissä mistä tahansa maailmaa Internetin avulla, paljasti tietoturvatutkija Troy Hunt keskiviikkona. Hunt lyöttäytyi yhteen toisen Leafilla ajavan tietoturvatutkijan, Scott Helmen, kanssa tutkiakseen NissanConnect-sovelluksen tietoturvaa. Tutkijat julkaisivat löytönsä kerrottuaan asiasta Nissanille yli kuukautta aiemmin. Nissan ei ole vielä julkisesti kommentoinut tietoturva-aukkoa, mutta oletettavasti NissanConnect-palvelu poistuu pian huoltotauolle ja älypuhelinsovellus saa lähiaikoina päivityksen aukon korjaamiseksi. Tekniikkamielisille kerrottakoon aukosta, että Nissanin palvelimet eivät tarkista HTTP GET-komennolla saapuvia yksinkertaisia ohjausviestejä mitenkään, joten hyökkääjän tarvitsee tietää kohteesta vain auton tuulilasista näkyvä valmistenumero. Mikäli HTTP-protokolla ei ollut koulussa valinnaisena kielenä, kerrottakoon, että tietoturvateknisesti hyökkäys on samaa tasoa kuin itsekirjoitetun lupalapun esittäminen yrityksen aulavartijalle. Troy Hunt kertoi Moottorille Twitterissä, että Leafien omistajat ovatkin tehneet selaimiinsa kirjanmerkkejä hallitakseen autoaan ilman sovellusta, kertoen omaa kieltään hyökkäyksen yksinkertaisuudesta. Toinen vaihtoehto olisi tehdä esimerkiksi tähän uutiseen klikattava linkki, jolla maahantuojan lehdistöauton istuinlämmitys menisi päälle. Jos olet Leafin omistajana huolissasi tietoturva-aukosta, voit poistaa autosi rekisteröinnin Nissanin You+Nissan tai CarWings-palvelusta kunnes vaara on ohi. Suurin haitta hyökkäyksen kohteeksi joutumisesta on akun latauksen haaskaaminen esimerkiksi ilmastointia käyttämällä. Auto myös osaa kertoa päivän aikana ajetut erilliset ajomatkat, mutta ei niiden paikkatietoa. Uutinen tulee harmillisesti vain pari päivää sen jälkeen, kun Nissan esitteli Leafin 30 kWh -version uusia NissanConnect-ominaisuuksia Mobile World Congressissa Barcelonassa. Tapahtumassa jättimäiseen laatikkoon paketoitu Leaf unboksattiin katsojien riemuksi. Mikäli unboxing ei ole ilmiönä tuttu, kyseessä on tuotepakkauksen sisällön julkinen esittely, yleisimmin YouTube-videolla. Viime vuonna tietoturvatutkijat Chris Valasek ja Charlie Miller demonstroivat Jeep Cherokeessä olleita tietoturva-aukkoja ottamalla haltuunsa jopa ajoneuvon jarrut kesken ajomatkan. Tällöin haavoittuvuus oli ajoneuvon UConnect-viihdejärjestelmän yhteydessä Sprint-mobiilioperaattorin kanssa. UConnect-haavoittuvuus oli myös osoitus siitä, että vaikka navigaattorin tai viihdejärjestelmän murtaminen ei kuulosta vakavalta, ongelmat kasautuvat nopeasti mikäli esimerkiksi hätäjarrutusavustin ei tarkista sille saapuvien komentojen alkuperää. Vaikka nyt saapuvat hyökkäysuutiset kertovat autovalmistajien haparoivista ensiaskelista verkottuneeseen maailmaan, on syytä olettaa, etteivät autojen tietoturva-aukkojen uutiset ole lähivuosina katoamassa mihinkään. Teksti: Aake Kinnunen Lähde: Jalopnik / TroyHunt.com / Nissan, kuva: Nissan Mainos (teksti jatkuu alla)Mainos päättyy Lue lisää Kaikki artikkelit 27.3.2024 Ajoneuvot Koeajo: Mercedes-Benz EQB 300 4Matic – tämä tulee tarpeeseen 27.3.2024 Moottoripyörät KTM haukkasi itselleen päätösvallan MV Agustasta 27.3.2024 Uutinen Kainuulle messevä tunnustus luontomatkailualueena 26.3.2024 Käyttötesti käytetyllä Käyttötesti käytetyllä: oliko käytetyllä Volvo V50 -ekodieselillä ajaminen oikeasti halpaa? 26.3.2024 Uutinen Operaatio Pajunkissa starttaa jo 54. kerran – Autoliitto varoittaa routakuopista ja kevätauringosta 26.3.2024 Moottoripyörät Husqvarna Svartpilen 801 – malliston suurin ja tehokkain nakupyörä 25.3.2024 Ajoneuvot Koeajo: Volvo XC90 T8 – vanhojentanssien kuningatar 25.3.2024 Ajoneuvot Asiakkaan ostama Volkswagen olikin savuttava öljynkuluttaja – myyjäliike alkoi etsiä syyllistä edellisestä omistajasta 25.3.2024 Ajoneuvot Supersuositun Fiat 500:n myynti loppuu Euroopassa – siksi täyssähköversiolle jouduttaneen tekemään oma polttomoottorivaihtoehtonsa Jaa artikkeli: Facebook Jaa facebookissa X Jaa X:ssä LinkedIn Jaa LinkedInissä Luetuimmat Vuorokausi Viikko Kuukausi 26.3.2024 Käyttötesti käytetyllä Käyttötesti käytetyllä: oliko käytetyllä Volvo V50 -ekodieselillä ajaminen oikeasti halpaa? 26.3.2024 Koeajo Maistiainen: Suzuki Swift – pienessä vara parempi 27.3.2024 Ajoneuvot Koeajo: Mercedes-Benz EQB 300 4Matic – tämä tulee tarpeeseen 25.3.2024 Ajoneuvot Asiakkaan ostama Volkswagen olikin savuttava öljynkuluttaja – myyjäliike alkoi etsiä syyllistä edellisestä omistajasta 25.3.2024 Ajoneuvot Koeajo: Volvo XC90 T8 – vanhojentanssien kuningatar 24.3.2024 Ajoneuvot Et ollutkaan ainoa, joka ei ymmärtänyt Audin numeropohjaista mallimerkintäpolitiikkaa - siksi se siirtyy historiaan 20.3.2024 Ajoneuvot Vanhassa, yli 170 000 kilometriä ajetussa Škodassa havaittiin suuri öljynkulutus pian kauppojen jälkeen – myyjän mielestä autossa ei ollut vikaa luovutushetkellä 20.3.2024 Ajoneuvot Nimi muutettu: Kiinan poliisin peitellessä ökyostoksiaan, voi Mercedes-Benz ML muuttua yhtäkkiä Honda CR-V:ksi 25.3.2024 Ajoneuvot Asiakkaan ostama Volkswagen olikin savuttava öljynkuluttaja – myyjäliike alkoi etsiä syyllistä edellisestä omistajasta 25.3.2024 Käytetyt erikoisuudet Käytetyt erikoisuudet: 2 x VW Golf - kaksipäisen Golfin varjossa 24.3.2024 Ajoneuvot Et ollutkaan ainoa, joka ei ymmärtänyt Audin numeropohjaista mallimerkintäpolitiikkaa - siksi se siirtyy historiaan 20.3.2024 Ajoneuvot Vanhassa, yli 170 000 kilometriä ajetussa Škodassa havaittiin suuri öljynkulutus pian kauppojen jälkeen – myyjän mielestä autossa ei ollut vikaa luovutushetkellä 20.3.2024 Ajoneuvot Nimi muutettu: Kiinan poliisin peitellessä ökyostoksiaan, voi Mercedes-Benz ML muuttua yhtäkkiä Honda CR-V:ksi 20.3.2024 Uutinen Vakuutusyhtiö If myöntää taas vakuutuksia Porsche Taycan -sähköautoille ja sen sisarmalleille – kunhan tietty ehto täyttyy 25.3.2024 Ajoneuvot Asiakkaan ostama Volkswagen olikin savuttava öljynkuluttaja – myyjäliike alkoi etsiä syyllistä edellisestä omistajasta