Los piratas informáticos pueden ensuciar su Nissan Leaf desde cualquier lugar del mundo

El camino hacia un mundo de las maravillas del transporte interconectado, totalmente eléctrico, tendrá algunos topes de velocidad.

Y chico, el Nissan Leaf acaba de golpear uno. Un estudiante de seguridad digital descubrió un error en el sistema de Nissan que no solo le permitía controlar las características de su automóvil de forma remota, de una manera que Nissan no había querido, sino que podía conectarse a Nissan Leafs de otras personas y meterse con sus coches. El error le permitió encender y apagar los ventiladores, jugar con otras características pequeñas que la aplicación de teléfono inteligente puede controlar, así como ver la información y los datos de conducción de otras personas. Los controles físicos posiblemente podrían agotar la batería del auto, dejando a los conductores varados.

El estudiante inmediatamente envió la falla a su profesor, investigador de seguridad web e instructor de seminario Troy Hunt, quien se unió a su compañero investigador y propietario de Leaf, Scott Helme, para probar la brecha de seguridad en video.

El error era relativamente simple: una falla en la programación de la aplicación permitía a los usuarios conectarse a sus automóviles en línea, de forma anónima, es decir, sin verificar su identidad como el propietario del automóvil al que se estaban conectando, fuera del Número de identificación del vehículo. En otras palabras, si pudiera obtener el VIN de alguien, podría controlar (partes de) su automóvil.

“Cualquiera podría potencialmente enumerar los VIN y controlar la función física de los vehículos que respondieron. Ese fue sic un problema muy serio ", dijo Hunt en su blog sobre el error.

Hunt esperó un tiempo considerable antes de hacer público el error, lo que le dio tiempo a Nissan para poner una solución, lo que aún no ha sucedido.

"Lo informé a Nissan el día después de que descubriéramos esto", dijo Hunt en el correo. "Sin embargo, a partir de hoy, 32 días después, el problema sigue sin resolverse".

Cuando Hunt, quien vive en Australia, probó el error con Helme, descubrieron que Hunt podía controlar las mismas características de Helme's Leaf, estacionado en su camino de entrada en el norte de Inglaterra, que podía hacer suyo, todo a través de su navegador de internet.

Aquí está la prueba completa en video:

Aún así, dijo Helme, podría ser peor.

"Afortunadamente, el Nissan LEAF no tiene funciones como el desbloqueo remoto o el arranque remoto, como hacen algunos vehículos de otros fabricantes, porque eso sería un desastre con lo que se ha descubierto", dijo Helme en la publicación del blog de Hunt.

Otros vehículos interconectados, como los vehículos GM equipados con OnStar, han estado expuestos a fallas mucho más peligrosas, incluido el control del motor. Los piratas informáticos pudieron cerrar remotamente un Jeep con un Cableado reportero en julio, y el error de Nissan no es tan grave. Aún así, los números de VIN no son particularmente difíciles para un pirata informático dedicado a la fuerza bruta a través y la búsqueda, por lo que puede ser conveniente vigilar sus salidas de aire para detectar signos de control de clima ilícito.