API漏洞讓駭客得以操控Nissan電動車

jis2577

資安人員發現，透過NissanConnect EV這個程式的漏洞，不但可用來遙控自己的車子，還能透過輸入車輛識別碼來控制別人的車輛系統。VIN為每部汽車的獨特編號，Leaf車款的VIN就張貼在擋風玻璃上。Nissan Leaf與Nissan eNV200兩種電動車都可操控。

資安研究人員Troy Hunt於本周揭露，日產汽車（Nissan）所打造的多個應用程式設計介面（API）含有安全漏洞，導致駭客可透過NissanConnect EV遠端遙控程式操控Nissan Leaf與Nissan eNV200兩款汽車的功能。Nissan則在消息曝光後暫時關閉了NissanConnect EV的搖控功能。
NissanConnect EV是Nissan所開發的行動應用程式，可讓駕駛人遠端檢視汽車的電池充電狀態、進行充電、查看行駛範圍，還可開啟或關閉汽車恆溫控制系統，支援Android及iOS平台，適用於Nissan Leaf及Nissan eNV200兩款電動汽車。其中的Nissan Leaf正與Tesla旗下的Model S互爭全球電動車銷售霸主。
Hunt與其他兩名研究人員共同探索了相關漏洞，其中一名剛好是Leaf的車主，他發現NissanConnect EV不但可用來遙控自己的車子，還能透過輸入車輛識別碼（Vehicle Identification Number，VIN）來存取或控制別人的車輛系統。VIN為每部汽車的獨特編號，Leaf的VIN就張貼在擋風玻璃上。
雖然NissanConnect EV所能控制的並非重要的汽車系統，但駭客仍可用它取得汽車的行駛範圍，或是開啟恆溫控制系統來消耗電池。身在澳洲的Hunt便利用NissanConnect EV取得了英國友人的Leaf汽車資訊。
Hunts今年1月下旬便通知Nissan，但Nissan一直到Hunts於本周將此事公開才展開行動，暫時關閉了NissanConnect EV的功能。
Nissan亦透過官方的電動車論壇發表了聲明，宣稱在NissanConnect EV專用的伺服器上發現一可允許不安全存取恆溫控制與其他遙控功能的問題，該事件僅影響手機行動程式的遙控功能，車上的相關功能仍能手動使用。