Alfonso Maruccia

Sicurezza, Nissan Leaf controllabili da remoto

I ricercatori individuano preoccupanti vulnerabilità nel sottosistema informatico dell'auto elettrica giapponese, accessibile tramite API non sicure. E il problema potrebbe rivelarsi ancora più grave

Roma - I ricercatori Scott Helme e Troy Hunt hanno trovato il modo di controllare, ancorché in misura parziale, le funzionalità di una Nissan Leaf tramite una connessione di rete remota. A oltre sedicimila chilometri di distanza, con Hunt che forniva i comandi in Australia ed Helme che verificava il risultato via Skype sulla sua automobile in Inghilterra.


L'origine del problema è stata individuata all'interno delle API implementate dalla casa automobilistica giapponese, interfacce assolutamente aperte e accessibili senza autenticazione; una volta trovati gli ultimi 5 caratteri del codice VIN individuale per ogni vettura (con il prefisso "SJNFAAZE0U60" comune a tutte le Leaf), spiegano i ricercatori, è possibile letteralmente comandare da remoto l'automobile.

Le API non sicure di Nissan sono le stesse utilizzate dalle app ufficiali per gadget mobile (iOS e Android), e il rischio di sicurezza è mitigato dal fatto che le funzionalità associate sono limitate al controllo dello stato della batteria, all'avvio della ricarica, alla consultazione dei chilometri percorsi e poco altro.
Le API di Nissan non presentano insomma problemi di sicurezza gravi come quelli ad esempio connessi alle reti CAN (Controller Area Network), anche se il pericolo potrebbe anche rivelarsi maggiore nel caso in cui esistessero funzionalità non documentate e quindi (finora) sconosciute. Nissan ha in ogni caso riconosciuto l'esistenza del problema e dice di essere al lavoro per risolverlo.

Alfonso Maruccia
Notizie collegate
5 Commenti alla Notizia Sicurezza, Nissan Leaf controllabili da remoto
Ordina
  • Mah, sembra un mondo di bambocci.
    Notizie come queste, le vulnerabilità di Ford, di Fiat e di altri, mi danno l'impressione che siamo all'asilo.
    La cosa è così abominevolmente stupida che si può pensare ad un complotto.
    Non è possibile che nel 2016 i produttori di auto debbano riscoprire l'informatica.
    Chi sono i loro consulenti/fornitori?
    Davvero strano.
    non+autenticato
  • - Scritto da: pudding
    > Mah, sembra un mondo di bambocci.
    > Notizie come queste, le vulnerabilità di Ford, di
    > Fiat e di altri, mi danno l'impressione che siamo
    > all'asilo.
    > La cosa è così abominevolmente stupida che si può
    > pensare ad un
    > complotto

    Ma quale complotto, se ne sbattono perché tanto non li persegue nessuno, non c'è una legge che difenda i consumatori, il mondo informatico è nel far west. Se un'azienda edilizia costruisce una casa che crolla finiscono in prigione, invece nel mondo informatico possono mettere fuori minchiate, fare gli errori grossolani, tenere aperte falle di sicurezza per anni e nessuno persegue nessuno... siamo al ridicolo.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: pudding
    > > Mah, sembra un mondo di bambocci.
    > > Notizie come queste, le vulnerabilità di
    > Ford,
    > di
    > > Fiat e di altri, mi danno l'impressione che
    > siamo
    > > all'asilo.
    > > La cosa è così abominevolmente stupida che
    > si
    > può
    > > pensare ad un
    > > complotto
    >
    > Ma quale complotto, se ne sbattono perché tanto
    > non li persegue nessuno, non c'è una legge che
    > difenda i consumatori, il mondo informatico è nel
    > far west. Se un'azienda edilizia costruisce una
    > casa che crolla finiscono in prigione, invece nel
    > mondo informatico possono mettere fuori
    > minchiate, fare gli errori grossolani, tenere
    > aperte falle di sicurezza per anni e nessuno
    > persegue nessuno... siamo al
    > ridicolo.

    E non venite a tirarmi fuori che la casa che crolla sarebbe peggio perché causa morti... anche l'auto controllabile da remoto li causa. E abbiamo visto che con Jeep non è andato in galera nessuno nonostante sia stato ampiamente dimostrato che si poteva mandare a schiantare l'auto da remoto.
    non+autenticato
  • Purtroppo nessun completto. C'e' semplicemente la non volonta' di spendere soldi per la sicurezza a meno che se ne abbia un ritorno economico diretto. Fin'ora nessuno ci faceva caso quindi non aveva senso implementare misure di sicurezza.
    non+autenticato
  • Breaking news!

    Mint! La community col buco intorno.

    http://lxer.com/module/newswire/ext_link.php?rid=2...

    24 ore? NO 1 MESE!!!
    non+autenticato