Nissan Leafin älypuhelinsovelluksessa tietoturvariski

NissanConnect-älypuhelinsovelluksen aukon avulla hyökkääjä voi tarkastella auton tietoja ja säätää ilmastointia – vaikka toiselta mantereelta.

Nissan Leafin etäohjaamiseen käytettävästä NissanConnect-sovelluksesta on löytynyt tietoturva-aukko. Vaikka aukko itsessään ei ole erityisen vaarallinen, se on uusin osoitus autovalmistajien laiskottelusta erityisesti verkottumistoimintojen tietoturvan toteutuksessa.

Leafin tapauksessa NissanConnect-sovelluksella voi esimerkiksi tarkastella autolla kuljettua matkaa, tarkastaa akun lataustilanteen tai säätää auton ilmastointia. Nämä toiminnot ovat myös hakkerin käytettävissä mistä tahansa maailmaa Internetin avulla, paljasti tietoturvatutkija Troy Hunt keskiviikkona. Hunt lyöttäytyi yhteen toisen Leafilla ajavan tietoturvatutkijan, Scott Helmen, kanssa tutkiakseen NissanConnect-sovelluksen tietoturvaa. Tutkijat julkaisivat löytönsä kerrottuaan asiasta Nissanille yli kuukautta aiemmin.

Nissan ei ole vielä julkisesti kommentoinut tietoturva-aukkoa, mutta oletettavasti NissanConnect-palvelu poistuu pian huoltotauolle ja älypuhelinsovellus saa lähiaikoina päivityksen aukon korjaamiseksi. Tekniikkamielisille kerrottakoon aukosta, että Nissanin palvelimet eivät tarkista HTTP GET-komennolla saapuvia yksinkertaisia ohjausviestejä mitenkään, joten hyökkääjän tarvitsee tietää kohteesta vain auton tuulilasista näkyvä valmistenumero.

Mikäli HTTP-protokolla ei ollut koulussa valinnaisena kielenä, kerrottakoon, että tietoturvateknisesti hyökkäys on samaa tasoa kuin itsekirjoitetun lupalapun esittäminen yrityksen aulavartijalle.

Troy Hunt kertoi Moottorille Twitterissä, että Leafien omistajat ovatkin tehneet selaimiinsa kirjanmerkkejä hallitakseen autoaan ilman sovellusta, kertoen omaa kieltään hyökkäyksen yksinkertaisuudesta. Toinen vaihtoehto olisi tehdä esimerkiksi tähän uutiseen klikattava linkki, jolla maahantuojan lehdistöauton istuinlämmitys menisi päälle.

Jos olet Leafin omistajana huolissasi tietoturva-aukosta, voit poistaa autosi rekisteröinnin Nissanin You+Nissan tai CarWings-palvelusta kunnes vaara on ohi.  Suurin haitta hyökkäyksen kohteeksi joutumisesta on akun latauksen haaskaaminen esimerkiksi ilmastointia käyttämällä. Auto myös osaa kertoa päivän aikana ajetut erilliset ajomatkat, mutta ei niiden paikkatietoa.

Uutinen tulee harmillisesti vain pari päivää sen jälkeen, kun Nissan esitteli Leafin 30 kWh -version uusia NissanConnect-ominaisuuksia Mobile World Congressissa Barcelonassa. Tapahtumassa jättimäiseen laatikkoon paketoitu Leaf unboksattiin katsojien riemuksi. Mikäli unboxing ei ole ilmiönä tuttu, kyseessä on tuotepakkauksen sisällön julkinen esittely, yleisimmin YouTube-videolla.

Viime vuonna tietoturvatutkijat Chris Valasek ja Charlie Miller demonstroivat Jeep Cherokeessä olleita tietoturva-aukkoja ottamalla haltuunsa jopa ajoneuvon jarrut kesken ajomatkan. Tällöin haavoittuvuus oli ajoneuvon UConnect-viihdejärjestelmän yhteydessä Sprint-mobiilioperaattorin kanssa. UConnect-haavoittuvuus oli myös osoitus siitä, että vaikka navigaattorin tai viihdejärjestelmän murtaminen ei kuulosta vakavalta, ongelmat kasautuvat nopeasti mikäli esimerkiksi hätäjarrutusavustin ei tarkista sille saapuvien komentojen alkuperää.

Vaikka nyt saapuvat hyökkäysuutiset kertovat autovalmistajien haparoivista ensiaskelista verkottuneeseen maailmaan, on syytä olettaa, etteivät autojen tietoturva-aukkojen uutiset ole lähivuosina katoamassa mihinkään.

Teksti: Aake Kinnunen
Lähde: Jalopnik / TroyHunt.com / Nissan, kuva: Nissan