HOW2.work

ホーム 紐を切る ストリーミングサービス ハッカーがスマートフォンアプリの脆弱性を利用して日産リーフを制御

ハッカーがスマートフォンアプリの脆弱性を利用して日産リーフを制御

in
サイバーセキュリティの専門家が、世界で最も人気のある電気自動車である日産リーフを制御する方法を発見した。専門家のトロイ・ハントによって発見されたこの脆弱性により、誰でもリーフの空調および暖房システムを制御できるようになり、車の走行履歴にもアクセスできるようになります。ハント氏によると、ハッキングはNissanConnect EVアプリを介して遠隔から行われ、地球の裏側にいる他人のリーフを制御できるようになったという。

どのように機能するのでしょうか?

他の多くの電気自動車と同様に、日産リーフは対応するアプリを使用して、運転習慣、充電レベル、一般的な環境への配慮を表示しますが、事前調整も可能です。簡単に言えば、プリコンディショニングにより、充電中に車の要素をリモートで制御できるようになります。そうすることで、車の充電中に車内を暖めるなどの作業が可能になり、運転のための貴重なバッテリー寿命を節約できます。
ハント氏は、アプリ経由でこのエリアにアクセスするには、VIN (車両識別番号) だけが必要だったと述べています。同氏はBBCに対し、「彼らが(アプリ上で)認証を下手に行ったわけではない。まったく認証を行っていないだけだ。これは奇妙なことだ」と語った。車の VIN の最初の数文字はブランド、モデル、生産国を表すため、最後の数桁だけが各リーフを区別します。
「通常、異なるのは最後の 5 桁だけです」とハント氏は BBC に語った。 「誰かが 100,000 台のすべての車を調べて、すべての車でエアコンをオンにしようとするプロセスをスクリプト化することを妨げるものは何もありません。
ビデオでは、トロイ・ハント氏がNissanConnect EVアプリのAPIを介してこれらの機能を遠隔制御している様子が映されており、また英国で友人のリーフと遠隔で理論をテストしている姿も映されている。興味深いことに、ハッカーは Web ブラウザを使用してこの脆弱性にアクセスすることもできるようです。
「私がスカイプでトロイと話していると、トロイはウェブアドレスをブラウザに貼り付けた。そしておそらく10秒後、車内でビープ音が聞こえた」とサイバーセキュリティアドバイザーのスコット・ヘルメ氏はBBCに語った。
「その後、シートヒーターとステアリングホイールのヒーターがオンになりました。そして、ファンが回転し、エアコンがオンになるのが聞こえました。」

それは危険ですか?

特にありません。トロイ・ハント氏は、日産にこの問題を解決するのに1か月の猶予を与えたと述べ、今日同社はNissanConnect EVサービスを停止したようだが、それは差し迫ったリスクを意味するものではなかった。最悪のシナリオでは、ハッカーがリーフの AC ユニットにアクセスして、車内を非常に暖かくしたり、非常に冷たくしたりすることができ、その過程でバッテリーが消耗する可能性があります。さらに、このハッキングは車が動いているときは機能しません。
ハント氏は次のように述べています。「ガソリン車でエンジンを始動してエアコンを作動させるのと同じで、タンク内の燃料を消費し始めます。車を一晩ドライブ中や職場に 10 時間駐車して走り続けた場合、車に戻ったときには燃料がほとんど残っていない可能性があります…立ち往生することになります。」 2016-nissan-leaf-exterior-pearl-white
同時に、あなたの旅行履歴や環境統計にもアクセスできるようになるが、それは不安ではあるものの、最近の自動車ハッキングに比べると見劣りするものだ。
ハント氏は自身のブログで次のように書いている。車両の運転制御に影響を与えないという点では良いのですが、この方法で車両の制御にアクセスするのがそれほど簡単ではなく、非常に簡単であるという点では悪いです。」また、ハント氏は、友人が日産リーフからアプリを切断するとすぐに、アプリがハッキングできなくなることにも気づきました。 issan_leaf_hack_1

日産の対応

私たちは日産に現在の問題に関する声明を求めたところ、次のような答えが得られました。
「NissanConnect EV アプリ (以前は CarWings と呼ばれ、日産リーフおよび eNV200 に使用されていました) は現在利用できません。これは、独立系 IT コンサルタントからの情報とその後の日産社内調査によるもので、アプリ専用サーバーに問題があり、安全でないルート経由で温度制御やその他のテレマティクス機能にアクセスできることが判明しました。
日産リーフまたは eNV200 のその他の重要な運転要素は影響を受けず、世界中の 20 万人以上の日産リーフおよび eNV200 ドライバーは引き続き安全に、完全な自信を持って車を使用できます。影響を受ける機能は携帯電話を介して制御される機能のみで、標準的な車両と同様にすべての機能を手動で使用できます。
当社のモバイルアプリのメリットを享受していた日産リーフおよびeNV200のお客様に失望を与えたことをお詫び申し上げます。ただし、当社製品の品質とシームレスな操作は最も重要です。
アプリの更新バージョンを近日中にリリースできることを楽しみにしています。」

アプリのセキュリティ

このハッキングは自動車メーカーにとってさらなる警告となるはずだ。 NissanConnectEV サービスのようなアプリの統合は自動車にとって重要な前進を意味しますが、メーカーは、私たちが使用する他のアプリに期待されるのと同じセキュリティ基準を確実に遵守する必要があります。ボルボなどの企業はすでに車のキーの置き換えを望んでおり、日産自動車は車アプリの統合を強化することを検討しているため、これらのセキュリティ問題にはできるだけ早く対処する必要があります。
次をお読みください: Tesla Model 3 について知っておくべきことすべて

「ハッカーがスマートフォンアプリの脆弱性を利用して日産リーフを制御」に関するベスト動画選定!

【日産リーフ】日産リーフをあま猫さんが試乗レビューしてくれました!これから増えてくる100%電気自動車の乗り心地は?【NISSAN/ニッサン】
電気自動車の本当の地獄は・・
サイバーセキュリティの専門家が、世界で最も人気のある電気自動車である日産リーフを制御する方法を発見した。専門家のトロイ・ハントによって発見されたこの脆弱性により、誰でもリーフの空調および暖房システムを制御できるようになり、車の走行履歴にもアクセスできるようになります。ハント氏によると、ハッキングはNissanConnect EVアプリを介して遠隔から行われ、地球の裏側にいる他人のリーフを制御できるようになったという。

どのように機能するのでしょうか?

他の多くの電気自動車と同様に、日産リーフは対応するアプリを使用して、運転習慣、充電レベル、一般的な環境への配慮を表示しますが、事前調整も可能です。簡単に言えば、プリコンディショニングにより、充電中に車の要素をリモートで制御できるようになります。そうすることで、車の充電中に車内を暖めるなどの作業が可能になり、運転のための貴重なバッテリー寿命を節約できます。
ハント氏は、アプリ経由でこのエリアにアクセスするには、VIN (車両識別番号) だけが必要だったと述べています。同氏はBBCに対し、「彼らが(アプリ上で)認証を下手に行ったわけではない。まったく認証を行っていないだけだ。これは奇妙なことだ」と語った。車の VIN の最初の数文字はブランド、モデル、生産国を表すため、最後の数桁だけが各リーフを区別します。
「通常、異なるのは最後の 5 桁だけです」とハント氏は BBC に語った。 「誰かが 100,000 台のすべての車を調べて、すべての車でエアコンをオンにしようとするプロセスをスクリプト化することを妨げるものは何もありません。
ビデオでは、トロイ・ハント氏がNissanConnect EVアプリのAPIを介してこれらの機能を遠隔制御している様子が映されており、また英国で友人のリーフと遠隔で理論をテストしている姿も映されている。興味深いことに、ハッカーは Web ブラウザを使用してこの脆弱性にアクセスすることもできるようです。
「私がスカイプでトロイと話していると、トロイはウェブアドレスをブラウザに貼り付けた。そしておそらく10秒後、車内でビープ音が聞こえた」とサイバーセキュリティアドバイザーのスコット・ヘルメ氏はBBCに語った。
「その後、シートヒーターとステアリングホイールのヒーターがオンになりました。そして、ファンが回転し、エアコンがオンになるのが聞こえました。」

それは危険ですか?

特にありません。トロイ・ハント氏は、日産にこの問題を解決するのに1か月の猶予を与えたと述べ、今日同社はNissanConnect EVサービスを停止したようだが、それは差し迫ったリスクを意味するものではなかった。最悪のシナリオでは、ハッカーがリーフの AC ユニットにアクセスして、車内を非常に暖かくしたり、非常に冷たくしたりすることができ、その過程でバッテリーが消耗する可能性があります。さらに、このハッキングは車が動いているときは機能しません。
ハント氏は次のように述べています。「ガソリン車でエンジンを始動してエアコンを作動させるのと同じで、タンク内の燃料を消費し始めます。車を一晩ドライブ中や職場に 10 時間駐車して走り続けた場合、車に戻ったときには燃料がほとんど残っていない可能性があります…立ち往生することになります。」 2016-nissan-leaf-exterior-pearl-white
同時に、あなたの旅行履歴や環境統計にもアクセスできるようになるが、それは不安ではあるものの、最近の自動車ハッキングに比べると見劣りするものだ。
ハント氏は自身のブログで次のように書いている。車両の運転制御に影響を与えないという点では良いのですが、この方法で車両の制御にアクセスするのがそれほど簡単ではなく、非常に簡単であるという点では悪いです。」また、ハント氏は、友人が日産リーフからアプリを切断するとすぐに、アプリがハッキングできなくなることにも気づきました。 issan_leaf_hack_1

日産の対応

私たちは日産に現在の問題に関する声明を求めたところ、次のような答えが得られました。
「NissanConnect EV アプリ (以前は CarWings と呼ばれ、日産リーフおよび eNV200 に使用されていました) は現在利用できません。これは、独立系 IT コンサルタントからの情報とその後の日産社内調査によるもので、アプリ専用サーバーに問題があり、安全でないルート経由で温度制御やその他のテレマティクス機能にアクセスできることが判明しました。
日産リーフまたは eNV200 のその他の重要な運転要素は影響を受けず、世界中の 20 万人以上の日産リーフおよび eNV200 ドライバーは引き続き安全に、完全な自信を持って車を使用できます。影響を受ける機能は携帯電話を介して制御される機能のみで、標準的な車両と同様にすべての機能を手動で使用できます。
当社のモバイルアプリのメリットを享受していた日産リーフおよびeNV200のお客様に失望を与えたことをお詫び申し上げます。ただし、当社製品の品質とシームレスな操作は最も重要です。
アプリの更新バージョンを近日中にリリースできることを楽しみにしています。」

アプリのセキュリティ

このハッキングは自動車メーカーにとってさらなる警告となるはずだ。 NissanConnectEV サービスのようなアプリの統合は自動車にとって重要な前進を意味しますが、メーカーは、私たちが使用する他のアプリに期待されるのと同じセキュリティ基準を確実に遵守する必要があります。ボルボなどの企業はすでに車のキーの置き換えを望んでおり、日産自動車は車アプリの統合を強化することを検討しているため、これらのセキュリティ問題にはできるだけ早く対処する必要があります。
次をお読みください: Tesla Model 3 について知っておくべきことすべて

「ハッカーがスマートフォンアプリの脆弱性を利用して日産リーフを制御」に関するベスト動画選定!

【日産リーフ】日産リーフをあま猫さんが試乗レビューしてくれました!これから増えてくる100%電気自動車の乗り心地は?【NISSAN/ニッサン】
電気自動車の本当の地獄は・・

最新記事一覧