A Nissan já vendeu mais de 200 mil Leaf. O carro elétrico mais vendido do mundo.
Segundo o investigador, os utilizadores podem proteger-se desativando a sua conta Nissan CarWings. A vulnerabilidade descoberta por Hunt permite controlar o sistema de aquecimento e ar condicionado dos Leafs remotamente. A Nissan, por sua vez, refere que não há risco para a segurança. Hunt também reconhece que a ameaça não é muito grande, mas que os piratas podem tirar causar descargas mais rápidas da bateria dos carros.
«A Nissan sabe de um problema de dados relacionado com a app NissanConnect EV que tem impacto no controlo de clima e no estado de carregamento», disse a porta-voz da Nissan, completando que «não tem qualquer efeito na operação do veículo ou na segurança», cita a BBC. A empresa refere ainda estar a trabalhar na solução para esta vulnerabilidade.
Segundo Hunt, a vulnerabilidade acontece porque a conta online do Nissan CarWings não tem qualquer mecanismo que impeça várias tentativas de login e só é necessário conhecer o número Vin de um veículo para o afetar. Uma vez que as letras são bastante fáceis de conhecer, e geralmente só os últimos cinco dígitos variam, é relativamente fácil criar um script que percorra até cem mil números Vin e ligue o ar condicionado em todos eles. O ataque pode ser feito através de um web browser remotamente e para provar o que diz, Hunt, da Austrália, conseguiu afetar um carro no Reino Unido.
A solução recomendada pelo investigador, enquanto a vulnerabilidade não é sanada, passa por desativar o serviço de todo.
