‘Hacken Nissan Leaf was extreem simpel’

Auteur: , 19 Reacties

Het scheen doodeenvoudig te zijn om een Leaf op afstand over te nemen.

Grijze-Leaf

Nu rijdt u natuurlijk geen Leaf, u bent allen autoliefhebber en houdt vooral van verbrandingsmotoren. Hoe dikker hoe beter natuurlijk. Weet ik ook wel, maar voor de zekerheid toch even dit berichtje, mocht u op het punt staan tóch een Leaf aan te gaan schaffen. Het kan gevaarlijk zijn.

Een Australische hacker heeft namelijk de app van Nissan weten te kraken waardoor ze allerlei systemen van de Leaf over konden nemen. Dat melden verschillende (inter)nationale media. Zo konden ze op afstand de airco aan en uitzetten en ook konden ze met de verwarming rotzooien. Op zich geen probleem zou je denken, maar in het geval van de Leaf wel degelijk. Dat ding loopt op batterijen en met de airco en/of verwarming op de hoogste stand wordt de actieradius enorm verkleind. En die was al niet zo heel erg groot. Best jammer als je net een belangrijke afspraak hebt waar je niet kan komen door dit geintje. Of erger, als je met de Leaf naar het ziekenhuis moet omdat je vrouw moet bevallen ofzo. Het kan allemaal gebeuren.

De hacker, een zekere Troy Hunt, gebruikte naar eigen zeggen een proxyserver waarmee hij een zogenoemde man-in-the-middle-aanval kon uitvoeren. Met behulp van het identificatienummer van de auto, het VIN-nummer, kreeg hij vervolgens vrij eenvoudig toegang tot de systemen die normaal alleen via de app van Nissan te besturen zijn. Mij zegt het niet zoveel, maar het werkte. Want vanuit Australië kon hij een auto in Engeland beïnvloeden.

Nissan is op de hoogte van het lek en heeft de app direct offline gehaald. Alles wordt pas weer in werking gesteld als de boel is gerepareerd, zegt Nissan Nederland. En dat is slecht nieuws voor de Leaf-rijders in ons land, want die zijn volgens Nissan bijna allemaal de dupe van de slechte software. Het is overigens niet bekend of er ook écht misbruik is gemaakt van het lek, of dat meneer Hunt de enige was die er iets mee heeft gedaan.

Eerder werd een zelfde soort geintje al eens uitgehaald met een Jeep overigens, maar zo heftig als dat, was deze hack niet. Wil je trouwens de precieze uitleg van hoe Troy dit heeft geflikt, hier kun je dat allemaal zien.



19 reacties

Pas maar op, Gemeente Eindhoven!
@thowmas97: rijden die met een Leaf? In Den Bosch scheuren ze rond in de Zoë
Het lijkt mij wel leuk. Al die gemeente ambtenaren even laten zweten op weg naar hun dinsdagmiddag dutje….
@dutchdriftking: Dat zou alleen gebeuren op vrijdag middag. De rest van de week is er een lekker ontspannen werksfeer.
Ik denk dat we zulke berichten in de toekomst meer en meer zullen zien voorbijkomen. Het is allemaal leuk en wel dat er in de auto meer van die apps en dergelijke zitten maar men moet de beveiliging ook serieus nemen. Nu is het enkel prutsen met de airco maar het zal niet lang duren voor ze iets gevaarlijkers kunnen saboteren.
@misterdrogba: Klopt.

Maar deze hack was wel heel erg een fout van Nissan.
De app stuurde gewoon onencrypted alle inlog gegevens over het internet.
Wie een kastje dat het signaal uitleest tussen de telefoon met app ien het internet plaatst, ontvangt dus alle inlog gegevens.

Dat is een beetje alsof je mensen bij een pinapparaat hard hun pincode laat roepen, in plaats van subtiel intypen.

Maargoed, Amerikaanse en Aziatische (en Opel) autofabrikanten geven geen fuck om klanten hun privacy(andere cultuur), dus er zal ook wel minder gedaan worden op veiligheidsgebied.
@martinus: niet helemaal.

De traffiek was wel degelijk geëncrypteerd met transport layer security (HTTPS). Het is mits wat ingrepen op het toestel (nieuw root certificates installeren) mogelijk om een proxy te plaatsen tussen de app en de server en zo de traffiek af te luisteren. Dat hebben ze dan ook gedaan.

Uit die afgeluisterde traffiek bleek dat er helemaal geen authenticatie gebeurde. Het komt erop neer dat je naar de server van nissan kon sturen “zet de airco van de auto met chassisnummer XYZ eens aan”. En dat dat dan ook gebeurde, zonder te controleren of het wel jouw auto was.
Nissan toch!

Het besturingssysteem in Infiniti is erg lekker te gebruiken (zou zomaar door hetzelfde team ontworpen kunnen zijn); maar ook hier heb ik al een lijst van 10-15 bugs/bad designs in de software.
Hierbij de link naar het artikel op het blog van de hacker (Troy Hunt): http://www.troyhunt.com/2016/02/controlling-vehicle-features-of-nissan.html
@Henk_he: Dank je wel, ik ga hem even in het artikel zetten
@nicolasr: At your service!
Over sjoemelsoftware gesproken…
‘En dat is slecht nieuws voor de Leaf-rijders in ons land, want die zijn volgens Nissan bijna alle DRIE de dupe van de slechte software.’

Dit had er moeten staan :-)
Hoe zielig zijn wij mensen weer!
Ik bedoel, we hebben de beschikking over één van de beste, wat heet, HET beste informatie systeem ooit, de computer en we moeten dat zo nodig voor onszelf verpesten !

Alles kun je tegenwoordig lezen, uit iedere uithoek van de wereld, vele zaken werken veel beter dank zij de computer, dank zij de computer kun je jezelf veel beter laten informeren,
maar harry de Sneuneus moet zo nodig een auto hacken en dat als ‘kinderlijk eenvoudig’ aangeven!
Misschien, heel misschien mijnheer de Sneuneus heeft Nissan het helemaal niet bedoeld , misschien mijnheer de Sneuneus probeert Nissan de wereld te veranderen door een elektrische wagen te produceren en dat ze daar mee geld willen verdienen lijkt me logisch.
Net zoals als die internet criminelen, wat gaat er eigenlijk in deze mensen om ?
Straks kraken ze een Boeing en dan, wat wil je daar dan mee doen ? Laten zien hoe goed je bent en loopings maken? Of het ding laten crashen ?
Bah, gewoon bah, een hele hel diepe donkere kerker voor figuren die dit soort dingen doen !
@desjonnies: heb je het artikel wel gelezen? Nissan heeft als het ware een huis gebouwd waarvan de voordeur ontbreekt.
Het hacken van de Leaf bleek voor meneer Hunt geen ‘Mission Impossible’ te zijn ;)
Geen smartphone = geen app = geen hack? Ik heb een gsm, vandaar :-)
Ongelooflijk dat een international als Nissan een stel amateurs heeft ingezet om deze service te ontwikkelen. Is een beetje alsof je als F1-team Maldonado inhuurt, maar dan zonder dat er een bak met geld meekomt… De boel crasht vanzelf.
Dat hacken van auto’s word steeds meer gedaan en dat is een kwalijke zaak.

Geef een reactie:

Je moet ingelogd zijn om reacties te posten, registreren kan HIER (ook via Facebook).