在研究人员公开之后,日产在叶车应用程序安全缺陷 BT按计划完成EE收购 爱尔兰地点被DDOS袭击落下 补丁现在消除Glibc远程访问安全风险 IBM Open Sources SlockChain帮助开发人员构建LEDGERS 安迪Beale担任政府的副首席技术官 鬼泣巅峰之战升级情况,鬼泣巅峰之战格里芬特点分析 Gartner建议CDOS关于如何克服它的抵抗力 消费者被广告宽带价格误导 SAP高管在数字骨架上看到物联网作为肉体 IBM在战略领域的增长中击败了估计 CIO采访:约翰群岛,比利时 Gartner警告IT领导人关于使用私人平台作为服务的危险 移动服务帮助银行留住客户并增加收入 维珍提供以太网连接,以满足Office超级计算机 美品有饭—做消费者信赖品牌,打造健康饮食新生态 AWS削减了学术和研究用户组的云数据传输费用 IT决策者承认他们需要更多地保护数据 零售商处于“拨号”阶段的Omni频道 全国统一了700个分支机构的商业和公开Wi-Fi RSAC16:美国与英国有关数据访问协议 英格兰银行表示网络安全的风险管理关键 大多数IT部门未能满足可用性SLA 过去一年平均技术工资增长了2% 在印度尼西亚的映射技术转向智能城市 Assa Abloy Outsouts It转变为Wipro 政府发布了ATOS合同的审查 数字部长Matt Hancock呼吁南威尔士州的大数据挖掘复合体 纯粹的目标是带闪光灯系统的非结构化数据 Oracle用泥泞的扩张捏掉了英国云战略 BT Mobile MVNO部署了基于Agile NFV的计费 Azure在微软的IoT愿景中的角色 OpenReach在新住房庄园免费建立FTTP网络 盖伊和圣托马斯的试验智能手机作为健康监视器 ISC要求在计划监督票据中获得更多清晰度 微软捐赠了价值1亿美元的云计算资源 MWC16:GSMA和运营商续订对关联妇女的承诺 政府承认Altnets可以在农村地区对抗BT CIO采访:Anders Candell,Stora Enso AGS机场在希思罗机场分裂后出来 $ 54米网络欺诈击中飞机供应商股价 IT公司需要具有软技能的技术工人 Meg Whitman使用Q1结果争论戴尔/ EMC的情况 单一部门计划确认承诺GAAP MWC16:福特扩展了连接的车辆生态系统 英国外包部门希望留在改革欧盟 领先的Edge论坛与帝国学院的业务中断 印度供应商正在挖掘北欧业务 NHS英格兰注射了55米以上的e-reglrals optake 政府可以考虑国有宽带提供商
您的位置:首页 >前端 >

在研究人员公开之后,日产在叶车应用程序安全缺陷

当安全研究员公开安全漏洞后,日产暂停了其Nissanconnect移动应用程序,但在他提醒汽车制造商后一个月。

当日产未能回应特洛伊亨特的警告时,他发现其他人正在讨论安全漏洞,他在他的研究结果上发表了一个博客。

Hunt能够与澳大利亚的Web浏览器一起使用Nissan Leaf Owner。

然后,狩猎能够远程打开座椅和方向盘和空调系统,并找到最近的旅程的所有者的注册用户名和距离。

这是可能的,因为Nissanconnect应用程序只需要用于访问的venicle识别号码(VIN),这意味着访问不限于汽车的所有者。

VINS通常在车窗上陷入困境,通常在最后五位数字中不同 - 这意味着攻击者可以编写脚本来完成所有可能的组合。

日产立即从安全专家遭到火灾,因为它未能包括任何机制来验证用户作为汽车所有者的机制。

大多数评论员敦促日产暂停应用程序,直到该公司现已完成,该公司现已完成。

“我们期待着尽快推出我们的应用程序的更新版本,”日产在一份声明中表示。

这款车说,当应用程序不可用时,在叶车和Env200电车模型中没有受到其他“关键驾驶元素”。

“全球司机可以继续使用他们的汽车安全,完全信心,”日产表示,补充说,自2010年以来已售出200,000多名叶电动汽车。

日产最初捍卫其无所作为,称安全缺陷没有代表安全风险,因为无法访问任何关键函数。

但狩猎指出,攻击者不仅可以通过打开加热和通风系统来排除电池的攻击者可能会禁用叶轮,但也可以使用驾驶日志来跟踪所有者。

“随着汽车制造商急于加入东西的互联网,安全不能成为事后的事项,我们告诉他们的东西,他们认为他们不足以首先足够重视,”他在Ablog帖子中写道。

亨特和其他人也表示关切的是,如果Appor Car SystemDeveloper是添加应用程序的特征 - 例如远程门房锁定或远程发动机禁用 - 并且假设应用程序本身是安全和安全的,那么可能会有严重的影响。这些可能包括盗窃汽车或其内容,甚至是事故。

大多数评论员表示汽车制造商ingeneral应该适用于安全和可信的原则,以获得安全的应用程序开发。

Tripwire的安全研究员Craig Young,表示,由于连接的汽车技术仍处于初期,可能会有许多隐私和安全相关问题。

“一般来说,任何服务 - 但特别是与连通汽车有关的服务 - 不应根据非私人数据进行身份验证,”他说。

据年轻人介绍,而不是VIN,日产应为汽车所有者提供认证令牌,以便登录并用作访问控制,以证明客户被授权在特定车辆上执行动作。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。