I ricercatori Scott Helme e Troy Hunt hanno trovato il modo di controllare , ancorché in misura parziale, le funzionalità di una Nissan Leaf tramite una connessione di rete remota. A oltre sedicimila chilometri di distanza, con Hunt che forniva i comandi in Australia ed Helme che verificava il risultato via Skype sulla sua automobile in Inghilterra.
L’origine del problema è stata individuata all’interno delle API implementate dalla casa automobilistica giapponese, interfacce assolutamente aperte e accessibili senza autenticazione; una volta trovati gli ultimi 5 caratteri del codice VIN individuale per ogni vettura (con il prefisso “SJNFAAZE0U60” comune a tutte le Leaf), spiegano i ricercatori, è possibile letteralmente comandare da remoto l’automobile.
Le API non sicure di Nissan sono le stesse utilizzate dalle app ufficiali per gadget mobile (iOS e Android), e il rischio di sicurezza è mitigato dal fatto che le funzionalità associate sono limitate al controllo dello stato della batteria, all’avvio della ricarica, alla consultazione dei chilometri percorsi e poco altro.
Le API di Nissan non presentano insomma problemi di sicurezza gravi come quelli ad esempio connessi alle reti CAN (Controller Area Network), anche se il pericolo potrebbe anche rivelarsi maggiore nel caso in cui esistessero funzionalità non documentate e quindi (finora) sconosciute. Nissan ha in ogni caso riconosciuto l’esistenza del problema e dice di essere al lavoro per risolverlo.
Alfonso Maruccia