API漏洞让骇客得以操控Nissan电动车

资安研究人员Troy Hunt于本周揭露，日产汽车（Nissan）所打造的多个应用程序设计界面（API）含有安全漏洞，导致骇客可透过NissanConnect EV远端遥控程式操控Nissan Leaf与Nissan eNV200两款汽车的功能。Nissan则在消息曝光后暂时关闭了NissanConnect EV的摇控功能。

NissanConnect EV是Nissan所开发的行动应用程序，可让驾驶人远端检视汽车的电池充电状态、进行充电、查看行驶范围，还可开启或关闭汽车恒温控制系统，支援Android及iOS平台，适用于Nissan Leaf及Nissan eNV200两款电动汽车。其中的Nissan Leaf正与Tesla旗下的Model S互争全球电动车销售霸主。

Hunt与其他两名研究人员共同探索了相关漏洞，其中一名刚好是Leaf的车主，他发现NissanConnect EV不但可用来遥控自己的车子，还能透过输入车辆识别码（Vehicle Identification Number，VIN）来存取或控制别人的车辆系统。VIN为每部汽车的独特编号，Leaf的VIN就张贴在挡风玻璃上。

虽然NissanConnect EV所能控制的并非重要的汽车系统，但骇客仍可用它取得汽车的行驶范围，或是开启恒温控制系统来消耗电池。身在澳洲的Hunt便利用NissanConnect EV取得了英国友人的Leaf汽车资讯。

Hunts今年1月下旬便通知Nissan，但Nissan一直到Hunts于本周将此事公开才展开行动，暂时关闭了NissanConnect EV的功能。

Nissan亦透过官方的电动车论坛发表了声明，宣称在NissanConnect EV专用的服务器上发现一可允许不安全存取恒温控制与其他遥控功能的问题，该事件仅影响手机行动程式的遥控功能，车上的相关功能仍能手动使用。