Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon agerhard » Mi 24. Feb 2016, 16:58

Elektrofahrzeug: Botschafter-Leaf (von eDEVIL übernommen :) )
Bild Verbrauch ab Steckdose gemessen.
Benutzeravatar
agerhard
 
Beiträge: 78
Registriert: Di 8. Jul 2014, 13:58
Wohnort: Region Stuttgart

Anzeige

Re: Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon umberto » Mi 24. Feb 2016, 17:56

Ist eigentlich keine Lücke. Zitat aus dem Original-Blog:

It was built, intentionally, without security...

Blöd, daß man Remote die Klima einschalten kann (Akkureduzierung) und sich sogar Trip-Daten auslesen lassen.

Gruss
Umbi
Du fragst nach meiner Reichweite? Reden wir doch mal über das, was bei Dir hinten rauskommt.
Zoe seit 2013 - ab Zähler Bild
Benutzeravatar
umberto
 
Beiträge: 3734
Registriert: Mo 1. Okt 2012, 22:08

Re: Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon p.hase » Mi 24. Feb 2016, 18:04

ich würde gerne meine kontoauszüge hochladen. dürfen sie gerne auch lesen! :)
VERKAUFE Ständig WALLBOX original RENAULT 10/14A mit 6m TYP2 Kabel (Notladekabel) lagernd.
VERKAUFE Immer wieder günstige E-Autos von Nissan, Mitsubishi, Renault im Vorlauf.
Benutzeravatar
p.hase
 
Beiträge: 3705
Registriert: So 20. Okt 2013, 18:22
Wohnort: Stuttgarter Speckgürtel

Re: Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon Hanseat » Mi 24. Feb 2016, 20:24

Wie kann man... :shock:
Ich meine, Authentfizierung ist nicht erst seit gestern ein Thema bei einer Client-Server-Anwendung.
Egal, ob kritisch oder nicht.
Nissan Leaf Tekna
Hanseat
 
Beiträge: 195
Registriert: Do 17. Sep 2015, 12:13
Wohnort: Ahlerstedt

Re: Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon Schrauber601 » Do 25. Feb 2016, 10:02

Ohje...
Das ist ja eine komische Nummer:
1. Sehr einfacher ManInTheMiddle Angriff trotz verschlüsselter HTTPS Verbindung. Weder Client (App) noch der Server scheinen sich daran zu stören - man braucht offenbar nicht mal die Zertifikate des Clients zu extrahieren. Mit einer einfachen Maßnahme könnte ein (unveränderter) Client den "falschen" Server (Fiddler Proxy in dem Fall) ablehnen.

2. Login Daten werden nur einmalig durch den Nissan Server überprüft - das Ergebnis beachtet dann nur die App. Es gibt keinerlei "Session" zwischen App und Server (einfacher)... Mit jedem GET wird ggf. eine neue HTTPS Verbindung aufgebaut.

3. Die Verbindung erfolgt über die VIN als Klartext (ohje). Es wird kein SharedSecret oder ein Hash gebildet. Zumindest das hätte man als Session-Ersatz ja vom Server erwarten können.

4. Durch die Vorgehensweise mit dem GET und den damit Verbundenen Neuaufbau der TLS-Verbindung wird das System sehr träger - es kostet viel Leistung und Zeit für die vielen TLS-Handshakes...

Traurig Nissan - da gab es offenbar keine Experten um das System zu entwickeln...

Jan
CityEL Fact4 mit LiFePO4 Bild
Nissan Leaf 2nd Gen Bild
Benutzeravatar
Schrauber601
 
Beiträge: 494
Registriert: Di 19. Mai 2015, 14:08

Re: Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon steamachine » Do 25. Feb 2016, 10:25

Das ist ein aus der Historie heraus erwachsenes Trademark dieser Kfz-Schmiede; die ersten Nissan Fahrzeuge wurden damals noch mit 4-Kant-Rädern ausgeliefert.

Als ihnen dann klar gemacht werden konnte, dass das nicht mehr zeitgemäß ist & runde Räder besser abrollen, haben sie dann ein Update herausgebracht: auf 6-Kant!
12er Snowy-Leaf, 100%meins, EWS-Treibstoff-Versorgung
Die Menge Kohlestrom, die allein die Raffinierung von 7L-Sprit verbraucht, hat mein Auto bereits 50km weit gebracht.
Benutzeravatar
steamachine
 
Beiträge: 283
Registriert: Do 5. Sep 2013, 11:54

Re: Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon DanielBoe » Do 25. Feb 2016, 17:22

NissanConnect EV ist aktuell nicht verfügbar. Dieser Schritt war laut Nissan aufgrund dieser Thematik notwendig. Lediglich die Funktionen die über das Smartphone geregelt wurden sind deaktiviert. Fahre keinen LEAF aktuell, gebe euch die Informationen nur so weiter. Mal schauen wann die App wieder geht und die Funktionen wieder bereit sind.
Elektromobilität ist Gegenwart und keine Zukunft! - danielboe.de - Blog: saving-volt.de
DanielBoe
 
Beiträge: 50
Registriert: Fr 16. Mai 2014, 12:36
Wohnort: Schwalmstadt

Re: Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon xado1 » Do 25. Feb 2016, 18:42

ok,bei mir auch.
dienst steht aktuell nicht zur verfügung
Lebenskunst ist die Fähigkeit, auf etwas Notwendiges zu verzichten, um sich etwas Überflüssiges zu leisten

Nissan Leaf Tekna,Bj.10/2013 ,weiß
Tesla Teilhaber bei Blitzzcar.com
Model3 reserviert,und wieder storniert
Benutzeravatar
xado1
 
Beiträge: 3488
Registriert: Fr 8. Feb 2013, 20:38
Wohnort: Münchendorf,Österreich

Re: Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon dorfbewohner » Do 25. Feb 2016, 20:33

Auf der Facebookseite von Nissan Eletric steht folgende Mitteilung:
"Die NissanConnect EV App (ehemals CarWings) ist aktuell nicht verfügbar. Dieser Schritt war notwendig, nachdem wir durch einen unabhängigen IT Berater und folgende interne Nachforschungen herausgefunden haben, dass ein bestimmter, der App zugehöriger Server einen Fehler hat, der über eine unsichere Verbindung die Temperaturregelung und andere Funktionen des Telematiksystems zugänglich gemacht hat. Keine anderen für das Fahren notwendigen Elemente des NISSAN LEAF und e-NV200 sind betroffen und die Besitzer können ihre Fahrzeuge uneingeschränkt nutzen. Bei den betroffenen Funktionen handelt es sich um diejenigen, die über das Handy gesteuert werden können. Wir entschuldigen uns bei unseren NISSAN LEAF Kunden und Nutzern der App für die Enttäuschung. Unser oberstes Ziel bleibt weiterhin höchste Qualität und die reibungslose Funktion unserer Produkte. Wir werden in Kürze ein Update der App bereitstellen."
Botschafter Leaf April 2015- September 2016, Model 3 ab ?
dorfbewohner
 
Beiträge: 89
Registriert: Mi 29. Okt 2014, 15:33

Re: Leaf - Sicherheitslücke in App (Carwings / Nissan EV)

Beitragvon Syon » Fr 26. Feb 2016, 11:13

Forum für Eltern: http://papi-online.de
Erläuterungen, Links und Pläne zum Ladeplatz
Syon
 
Beiträge: 122
Registriert: So 13. Dez 2015, 07:24

Anzeige

Nächste

Zurück zu Leaf - Allgemeine Themen

 
  • Ähnliche Themen
    Antworten
    Zugriffe
    Letzter Beitrag
  • Ähnliche Artikel im Blog

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste