GIKK ÅPENT: I vinter ble et avdekket at alle data gikk åpent mellom Nissan Leaf-eiernes apper og serveren. Foto: Produsent ,

Avdekket på datakurs i Norge: Måtte stenge app: Nissan Leaf sårbare for hacking

Hackere har nærmest hatt åpne dører til styringen av en rekke funksjoner i elbilen Nissan Leaf på grunn av elendig sikring.

ARTIKKELEN ER OVER TRE ÅR GAMMEL

– Jeg anslår at en dataprogrammerer ville brukt en time på å skrive en kode som greier å finne frem til og fjernstyre hvor mange Nissan Leaf-modeller som helst. Da kunne vedkommende for eksempel skru på varmen og dermed tappe batteriene for strøm eller lese av tripteller-historikken i alle disse bilene, sier Troy Hunt. Han er datasikkerhets-ekspert fra Australia som blant annet holder kurs i Norge.

Under kurset hos det norske firmaet Programutvikling på Fornebu i vinter klarte en norsk deltaker å «hacke» sin egen Nissan Leaf, og avdekket da at alle data gikk åpent mellom eiernes apper og serveren. «Det var da ting begynte å bli interessant», skriver Hunt på bloggen sin.

Tok få minutter

– En av oppgavene jeg alltid gir, er å lære deltakerne å sjekke hvordan apper snakker med serveren over internett. Da en av deltakerne kom til hotellet på kvelden, kjørte han sjekken på sin egen Nissan Leaf-app. I løpet av få minutter var han i stand til å føre en dialog med bilen over internett, kun ved å taste i chassisnummeret på bilen sin, sier forteller Troy på Skype fra byen Gold Coast i Queensland på østkysten av Australia.

Chassisnummeret (såkalt VIN-nummer, Vehicle Identification Number), er åpent tilgjengelig, det står i frontruten på bilen. Tallrekken angir bilmerke, modell, årsmodell og produksjonsland. En samling tall på slutten angir bilens unike identitet, omtrent som i et personnummer.

– Vi undersøkte det nærmere, og fant ut at hvis man forandrer de siste fem numrene, kan man i prinsippet få tilgang til mange biler. Det er enkelt å sette opp i et automatisert søk og tar kun minutter, sier han.

Skrudde på varme i bil i England

BURDE STENGT: – Nissan burde stengt av appen og jobbet med å finne en løsning. Det er jo ikke verre enn at eierne ikke får skrudd på varmen i bilen fra huset, sier Troy Hunt, ekspert i data-sikkerhet fra Australia. Foto: Privat , Privat

Nissan Leaf er verdens mest solgte elbil, med over 200.000 solgte eksemplarer. 20.000 av dem går i Norge.

Hunt gjorde en test med kollega i England, som eier en Nissan Leaf. Hunt ba eieren sette seg i bilen, uten nøkkel og med avslått bil. Deretter tastet Hunt inn serienummeret til bilen i sin nettleser, og før det var gått ti sekunder skrudde setevarmen seg på, rattvarmen startet og viftene til klimaanlegget satte i gang, beskriver han i en video på bloggen sin.

«Fjernkontrollen» av bilen var bare mulig mens bilen sto stille.

Hunt ble også kontaktet av en person fra Canada, som fortalte om liknende tilfeller.


– Appen er dårlig sikret, det finnes faktisk folk som hacker og bruker sårbarheten til å ta kontroll, sier han.

Kontaktet Nissan

Han forteller at da de ble klar over hva de hadde funnet ut, kontaktet de Nissan umiddelbart.

– Det er ikke uvanlig å avsløre en slik risiko, og da tar vi selvsagt kontakt og gir all informasjon vi har. Nissan responderte bra, og vi var i dialog flere ganger. Men da ingenting hendte, informerte jeg dem om at jeg ville skrive om dette på bloggen min, og tilbød dem å svare for seg.

Fra Nissan var det stille, og Hunt postet en utførlig og teknisk beskrivelse på bloggen sin om sikkerhetsbristen.

Først da han publiserte innlegget på bloggen sin i slutten av februar, stengte Nissan appen, forteller han.

Får ikke sensitiv informasjon

– Vi begynte å jobbe med en løsning umiddelbart da vi ble gjort oppmerksomme på dette. Da det ble klart at dette ikke var mulig innen kort tid, valgte vi å stenge appen og informerte våre kunder om dette og om bakgrunnen for hvorfor vi gjorde det, sier informasjonssjef for Nissan i Norge, Marina Maneas Bakkum i en epost.

Nissan er ikke kjent med noen andre tilfeller der noen har fjernkoblet seg på en annens bil hverken i Norge eller globalt, og presiserer at ingen kan få tilgang til sensitiv informasjon. Nå kommer snart en ny versjon.

Bakkum opplyser at de håper dette er på plass innen kort tid. I mellomtiden har en kunde full mulighet til å logge på sin bil via PC eller iPad og kan foreta de samme operasjonene derfra som start av forvarming av sin bil.

Burde funnet løsning

I forrige uke ble VG kontaktet av en Nissan Leaf-eier som oppdaget at han ikke lenger kunne skru på varmen i bilen sin fra appen. Da han kontaktet Nissan om dette, fikk han til svar at «serveren var hacket», skriver han.


– Vi har aldri hacket Nissan, som vi kunne gjort. Det vi gjorde, var å avdekke hva som var mulig å gjøre med elbilene deres, og ga dem informasjonen. De valgte likevel å ikke fortelle folk om det, sier Hunt.

– Alle norske kunder skal være informert om dette, vi har benyttet e-postadresser hentet fra vår kundedatabase, og skulle noen ikke ha mottatt informasjon beklager vi det på det sterkeste, sier Bakkum.

Han mener at appen enkelt kan sikres mot uvedkommende ved å kreve bedre legitimasjon fra brukeren.

– Det kan ikke være sånn at du bare kan forandre noen tall, og så kan du gå inn og lese andres Facebook-vegg, sier han.

Kommersielt samarbeid: Rabattkoder