A tecnologia tem chegado aos carros de forma intensa e dá-lhes cada vez mais funcionalidades e um nível de controlo muito grande. Mas toda esta tecnologia tem um lado negativo e perverso se não for bem criada.
Depois de conhecidos vários problemas em vários carros, chega mais um. O Nissan Leaf está vulnerável a ataques e um simples browser pode ser usado para retirar informações ou agir directamente sobre estes carros.
Uma das características que o Nissan Leaf tem é poder ser controlado remotamente, com recurso a uma app que está instalada no smartphone. A partir dessa app é possível obter informações sobre o carro, activar o seu carregamento ou simplesmente ligar o ar-condicionado.
Mas o que foi descoberto agora e por vários investigadores de segurança, é que é possível obter toda essa informação através de um browser, e não se limita apenas ao carro de cada um. É possível realizar todas essas acções em qualquer Nissan Leaf, mesmo aqueles que não estão sobre o nosso controlo. Na prática é possível a um atacante ligar o AC de um carro na Austrália, estando este no Reino Unido.
Em que assenta a falha do Nissan Leaf?
A causa desta falha foi também revelada e está baseado no facto da comunicação não seguir canais seguros e assentar, para controlo e identificação, num único número associado a cada carro. Apenas com o VIN, o número de Identificação do Veículo que rapidamente pode ser obtido de qualquer carro, é possível dar-lhe comandos e controlá-lo remotamente.
Como surge esta falha no Nissan LEaf
A falha que Troy Hunt reportou foi descoberta por um dos alunos dos seus seminários, em que os desafia a tentar comprometer a segurança de objectos do dia-a-dia. O resultado foi a descoberta das várias vulnerabilidades das APIs da Nissan e da simplicidade com que podem ser exploradas. Basta um simples browser e uma ligação à Internet.
Troy Hunt conseguiu até agora controlar remotamente o AC de um Nissan Leaf e obter informações detalhadas sobre as viagens que este tinha realizado.
Para provar a falha e mostrar que é possível controlar qualquer Leaf, Troy Hunt contactou um colega no Reino Unido e a partir da Austrália, controlou o Leaf deste, conseguindo ligar e desligar o sistema de aquecimento e mostrar-lhe as viagens realizadas.
O futuro do Nissan Leaf?
É natural que a Nissan vá agora corrigir a forma de comunicação entre os seus carros e a app criada para o controlar, adicionando camadas de autenticação e retirando a dependência do VIN. Com todos os carros vulneráveis e sendo este um dos mais vendidos veículos eléctricos, é normal que a prioridade seja a sua resolução.
Esta é uma falha grave dada a simplicidade com que pode ser explorada em qualquer Nissan Leaf. Representa também os problemas que podem surgir ao trazer a tecnologia para novas áreas, sem que a segurança seja tida em conta.