Мобильное приложение NissanConnect, программный интерфейс которого давал возможность доступа к некоторым системам электромобилей Nissan Leaf при знании всего лишь его номера шасси (VIN), теперь отключено. Компания принесла извинения за неудобства, доставленные пользователям приложения.
Информацию об уязвимости опубликовал австралийский специалист по компьютерной безопасности Трой Хант. Вместе с коллегами (один из них, обнаруживший уязвимость, пожелал остаться анонимным) он убедился в том, что при некоторых запросах сервер, с которым связывается приложение NissanConnect, не требует аутентификации пользователя. Впоследствии выяснилось, что данную уязвимость отдельные пользователи обсуждали на форумах еще в декабре прошлого года. Знание VIN давало возможность отдавать команды на включение и выключение климат-контроля и получать сведения о всех предыдущих поездках. К счастью, пишут специалисты, в Nissan Leaf нет встроенных средств дистанционного запуска двигателя или отпирания дверей, но и работа климат-контроля может привести к разрядке аккумулятора.
В компании Nissan утверждают, что обнаруженная проблема никак не отражалась на безопасности и функционировании автомобиля.