De Nissan LEAF, de bestverkopende elektrische auto ter wereld, blijkt kwetsbaar voor hackers. Via de bijbehorende app kan iedereen informatie over de autogeschiedenis krijgen en het klimaatsysteem aan- of uitzetten. Dit alles zonder dat er enige autorisatie nodig is. Inmiddels heeft Nissan de app-service uitgeschakeld.

De hack kwam aan het licht na een workshop in Noorwegen, waar Troy Hunt, een 'Microsoft MVP' en softwareveiligheidsexpert, er samen met een Noorse student achterkwam dat de app van de Nissan LEAF zo lek is als een mandje. Met een programma dat bijhoudt wat een app doet, kwam namelijk al snel aan het licht dat delen van de auto, waaronder de klimaatbeheersing, zijn te beïnvloeden zonder dat iemand zich daarvoor hoeft te identificeren. Met andere woorden: als iemand het voertuignummer van een Nissan LEAF heeft, kan hij op afstand en met relatief weinig moeite inbreken.

Screenshot van de Nissan-app

Bijval

Hunt vertelt over de ontdekking van het lek op zijn uitgebreide blog. Nadat hij in Noorwegen het gevaar had ontdekt, kreeg hij al snel bijval uit Canada, waar mensen op hetzelfde probleem waren gestuit. Om het lek te bevestigen nam Hunt contact op met de Brit Scott Helme, die toevallig ook een LEAF heeft. Hij reproduceerde de stappen van Hunt en collega's en brak zo in op het systeem. Volgens hem is het onvoorstelbaar dat zo'n app geen beveiliging heeft: 'Dit is gestoord. Het is niet dat ze de autorisatiestap gemist hebben of niet hebben gecontroleerd. De app is, met opzet, zonder beveiliging gebouwd.'

Accu leeglopen

De gevolgen kunnen groot zijn. Door de temperatuur telkens te veranderen is het mogelijk om van grote afstand een auto leeg te laten lopen, waardoor iemand de volgende ochtend bijvoorbeeld niet naar zijn of haar werk kan. Hoewel er een specifiek voertuignummer nodig is, laat Hunt ook zien hoe makkelijk het is om een programmaatje te schrijven dat alle autonummers doorloopt en blijft proberen om binnen te komen – een geautomatiseerde hack dus.

Daarnaast bleek het mogelijk om iemands gehele rijgeschiedenis uit de app te halen. Gegevens over afstanden, routes en gemiddelde snelheid liggen daarmee op straat. Een grote inbreuk op de privacy van de chauffeur.

Maand geleden

Hunt ontdekte de hack al meer dan een maand geleden. Hij informeerde Nissan direct, maar de fabrikant verzuimde te reageren. Ondertussen kwamen er steeds meer mensen die bevestigden wat Hunt al vond: de app deugt niet. Nu, een dag nadat Hunt met zijn blog de vondst openbaar maakte, heeft Nissan eindelijk besloten actie te ondernemen en de app te deactiveren.

De Nissan LEAF is de bestverkopende volledig elektrische auto ter wereld. Hoewel er in Nederland nog geen tweeduizend rondrijden, is Noorwegen verliefd op de wagen: mede dankzij fikse subsidies voor 100 % elektrisch vervoer hebben ruim vijftienduizend Noren zo'n auto. Wereldwijd verkocht de Japanse automaker tweehonderdduizend elektrische auto's.

Lead image credit: Mic, Flickr