Bli medlem i Norsk elbilforening og støtt driften av Elbilforum. Som medlem får du i tillegg startpakke, medlemsfordeler og gode tips om elbil og lading. Du blir med i et fellesskap som jobber for mindre utslipp fra veitrafikken. Medlemskap koster 485 kroner per år. elbil.no/medlemskap

Sv: En liten dekk- og felgguide

Startet av Mippen, tirsdag 12. april 2016, klokken 18:49

« forrige - neste »

Mippen

Trenden er at biler også blir mer og mer digital. Enkelte biler er mer en datamaskin med 4 hjul. Det er viktig at sikkerheten også her er god nok. Noe den kanskje ikke er på alle biler...

SitatNissan Leaf lar seg kontrollere fra internett. Uten passord
Nordmann avslørte skremmende mangel på sikkerhet. – Ren og skjær galskap.

Sitat....Etter å ha fått noen tips fra Hunt om sårbare programmeringsgrensesnitt (API), utførte han på sitt hotellrom en test av NissanConnect-appen som kan brukes til å samhandle med Leaf-en. Ved å sende datatrafikken gjennom en proxy, kunne Jan se at appen kommuniserer med Nissans servere via HTTP-baserte nettadresser (URL-er).

Dette er selvfølgelig ikke så uvanlig, men det viste seg at tilgangen til dette programmeringsgrensesnittet ikke er begrenset på noen måte. Det vil si at det ikke kreves noen form for autentisering for å bruke API-et.


http://www.digi.no/sikkerhet/2016/02/24/nissan-leaf-lar-seg-kontrollere-fra-internett.-uten-passord
Fremtiden er elektrisk.

timingbeltkiller

Såvidt jeg har forstått, er Leaf kommunikasjonen oftere disconnect enn connect.
Og da rammes vel hackerne like mye som eierne?

Hva skade kan egentlig en hacker gjøre?
I rein jævelskap starte kupevarmen når bilen står parkert uten tilkoblet lading med lite reststrøm?

Værvarsel for de neste 100 år:
Fare for kortvarige perioder med oppholdsvær.

Mippen

Den har hatt mye problemer ja, men ikke så ille at det er helt ubrukelig. Har selv hatt leaf og nede tiden,var kanskje 5-10 %. Selv om man bare kan sjekke ladestatus, slå av og på AC, og se hvor man har kjørt, styre lading - kan det for rett person åpne muligheter til å gjøre livet surt for andre. Hva hvis det er viktig at folk ikke vet hvor du er? Hva kan for eksempel ikke dataen misbrukes til da? Er det gøy hvis noen leker med ladingen eller klima anlegget ditt? Det er uansett viktig med fokus på sikkerhet. Enkelte biler kan styres helt via data. Trenden er at flere kan det samme. Da kan man ikke akseptere sikkerhes hull.
Fremtiden er elektrisk.

fredag

Man trenger ikke å være hacker. Man trenger ikke spesiell programvare. Dette sikkerhetshullet kan hvem som helst utnytte ved å skrive en URL i adressefeltet i en webleser.

VIN-nummer (eller understellsnummer på norsk) er offentlig informasjon i Norge. Skriv inn regnr på enhver norsk bil på Veivesenets webside, og du får ut VIN-nummer.

http://www.vegvesen.no/kjoretoy/Kjop+og+salg/Kjøretøyopplysninger

Det er mange som rutinemessig går gjennom alle EL-regnr for å lage statistikk på feks hvilken farge som er mest populær, hvor Tesla-eierne bor og slikt. Lett å hente ut VIN-nr til alle Leaf-er i Norge.

Jeg måtte bare verifisere om dette sikkerhetsproblemet var reellt. Jeg hadde et bilde - med regnr - av en nyinnkjøpt bruktimportert Leaf til noen slektninger et par hundre kilometer unna. Først ringte jeg og spurte om tillatelse til å leke meg med bilen deres. Så slo jeg opp VIN-nr, sjekket batteristatus ("BatteryCapacity":"12","BatteryRemainingAmount":"7" ... PluginState":"NOT_CONNECTED") og skrudde på varmeapparatet. Ringte og spurte om hun kunne gå ut og sjekke om varmeapparatet sto på i den nye bilen, noe hun bekreftet, og måtte slå av med det samme slik at hun hadde nok strøm til å komme seg hjem igjen også.

Hvem som helst kan altså sjekke batteristatus for din bil, og deretter skru på varmeapparatet og tappe batteriet på bilen din, uten annen informasjon enn norsk regnr.
Mitsubishi i-Miev (2011)
Tesla Model S 85 (2013)
Tesla Model 3 (2019)

stefse

Bilens sikkerhetssystemer og kjøring kan uansett ikke påvirkes, så artikkelen er en smule overdrevet.
Skal noen ha noe som helst kommersiell nytte av dette, må det være spesialtilfeller, eller et program som systematisk "hacker" varmen på mange biler samtidig for å påvirke Nissan som bilmerke. Systemet virker dog noe sårbart for ddos angrep, med samme konsekvens (Appen virker ikke)

Posisjonsdata er ikke så kritisk som man tror. Smarttelefonen din og flesteparten av appene vet hvor du er hele tiden.
Tesla Model3
VW eGolf - solgt

Amoss

Sitat fra: stefse på torsdag 25. februar 2016, klokken 09:37
Posisjonsdata er ikke så kritisk som man tror. Smarttelefonen din og flesteparten av appene vet hvor du er hele tiden.

Sant nok at smarttelefonen og mange apper vet hvor du er, men ikke alle vil sette pris på om sjefen til en hver tid kan sjekke hvor du er når du har meldt en sykedag, eller at partneren kan se hvor du er når du "jobber overtid", eller at politiet (eller en sur nabo) kan fortløpende sjekke hvor bilen er og beregne snitthastigheten du har hold (og sammenstille dette mot fartsgrensene på stedet).

Det er tross alt en grunn til at overvåkningsdirektivet (også kjent som datalagringsdirektivet) ble kjent grunnlovsstridig, og her kan hvermannsen overvåke en hvilken som helst Leaf.

Nå skal jeg ikke male fanden på veggen på noen måte, men dette er noe Nissan må ta seriøst og fikse så snart som mulig.
"Your Model 3 was reserved on 31/03/2016."
ReservationId 364902

timingbeltkiller

Selvsagt må Nissan fixe dette.

Nissan i likhet med VW, BMW & CO er i første rekke bilbyggere og ingen dataspesialister.
Du får da masse data/elektronikk feil med bilene de bygger.
Selve bilene er verken bedre eller verre enn de alltid har vært.

Tesla derimot er datafolk som har startet opp bilproduksjon.
Derfor får du her det motsatte: Data/elektronikk funker.
Selve bilen er alt annet enn feilfri.

Ellers er jo alle elektroniske dingser lunete.
De stopper eller lager feil tilsynelatende uten noen rasjonell forklaring.
Ikke uten grunn er da rådgjerd nr 1:
"Skru av, vent 2 minutter, skru på igjen.
Værvarsel for de neste 100 år:
Fare for kortvarige perioder med oppholdsvær.

Amoss

Sitat fra: Amoss på torsdag 25. februar 2016, klokken 11:19
Sitat fra: stefse på torsdag 25. februar 2016, klokken 09:37
Posisjonsdata er ikke så kritisk som man tror. Smarttelefonen din og flesteparten av appene vet hvor du er hele tiden.

Sant nok at smarttelefonen og mange apper vet hvor du er, men ikke alle vil sette pris på om sjefen til en hver tid kan sjekke hvor du er når du har meldt en sykedag, eller at partneren kan se hvor du er når du "jobber overtid", eller at politiet (eller en sur nabo) kan fortløpende sjekke hvor bilen er og beregne snitthastigheten du har hold (og sammenstille dette mot fartsgrensene på stedet).

Det er tross alt en grunn til at overvåkningsdirektivet (også kjent som datalagringsdirektivet) ble kjent grunnlovsstridig, og her kan hvermannsen overvåke en hvilken som helst Leaf.

Nå skal jeg ikke male fanden på veggen på noen måte, men dette er noe Nissan må ta seriøst og fikse så snart som mulig.

Da har de i alle fall en midlertidig fiks:
http://www.digi.no/sikkerhet/2016/02/25/har-skrudd-av-den-sarbare-nissan-leaf-tjenesten
SitatNissanConnect EV
Har skrudd av den sårbare Nissan Leaf-tjenesten
Men bilselskapet er tilbakeholdne med informasjonen.
"Your Model 3 was reserved on 31/03/2016."
ReservationId 364902

timingbeltkiller

Værvarsel for de neste 100 år:
Fare for kortvarige perioder med oppholdsvær.

© 2024, Norsk elbilforening   |   Personvern, vilkår og informasjonskapsler (cookies)   |   Organisasjonsnummer: 982 352 428 MVA