Pull to refresh

Автомобиль Nissan Leaf отдаёт свои координаты любому RSS-провайдеру

Reading time 2 min
Views 3.7K
Похоже, в будущем нам придётся ставить файрвол не только на каждый персональный компьютер, но ещё и на личный автомобиль. По крайней мере, тот подход к информационной безопасности, который сейчас демонстрируют автопроизводители, совершенно не радует.

Например, посмотрите, как работает информационная система Carwings в Nissan Leaf. Во-первых, автомобиль сохраняет постоянное подключение к интернету. Во-вторых, встроенная программа для чтения RSS-каналов подключается к веб-сервису Carwings, который выдаёт координаты вашего автомобиля стороннему провайдеру RSS-данных. Это делается для того, чтобы вы могли получать персонализированные RSS-сервисы вроде прогноза погоды в том регионе, где находитесь.

Но интересно то, что при подписке на любой канал (например, новости CNN) провайдеру данных зачем-то отправляются ваши точные координаты.

Один из счастливых владельцев автомобиля Nissan Leaf наладил экспорт RSS на своём собственном сервере, просто чтобы изучить механизм, как именно передаются координаты. В логах Apache он обнаружил такие запросы (конкретные координаты стёрты):

61.202.253.100 - - [12/Jun/2011:16:19:39 -0600] “GET /rss.php?lat=47.xxxxxxxxxxxxx
&lon=-122.yyyyy&lat_dst=47.xxxxxxxxxxxxx
&lon_dst=-122.yyyyyyyyyyyy
&lat_1=&lon_1=&lat_2=&lon_2=&lat_3=&
lon_3=&lat_4=&lon_4=&lat_5=&lon_5=&car_dir=212&speed=0
&language_navi=use
&navi_set_t_zone=-8.00&navi_set_dst_d=mile&navi_set_tmp_d=F
&navi_set_e_mlg_d=mile/kwh
&navi_set_spd_d=mile/h& HTTP/1.1″ 200 641 “-” “Mozilla/5.0 (compatible;
NISSAN CARWINGS; http://lab.nissan-carwings.com/CWC/)”

Как видно, прямо в параметрах HTTP GET запрос содержит текущие координаты автомобиля (lat и lon), текущую скорость (speed), направление движения (car_dir) и координаты пункта назначения из навигационной системы автомобиля (lat_dst и lon_dst).



Понятно, что производитель автомобилей хочет постоянно отслеживать эту информацию (по крайней мере, вряд ли они когда-нибудь откажутся от такой возможности), плюс они могут делиться этими данными с правоохранительными органами по запросу, но зачем выдавать её всем подряд? Весьма чувствительная информация отдаётся стороннему RSS-провайдеру, а ведь им может быть совершенно любой сайт в интернете.

Как выглядит «утечка данных» из салона автомобиля, показано на видео ниже.



Другими словами, на этот Nissan Leaf хорошо бы поставить обычный файрвол, который бы блокировал отправку координат через интернет. Но сейчас это сделать нельзя: таких файрволов не существует, а отключить штатную функцию передачи координат с Nissan Leaf невозможно. Перепрошивка встроенного софта является незаконной и может повлечь потерю гарантии на автомобиль. Вопрос в том, осознают ли проблему автопроизводители или для них действуют совершенно другие стандарты на защиту информации, не такие, как в компьютерной индустрии?
Tags:
Hubs:
+31
Comments 45
Comments Comments 45

Articles