Автомобиль Nissan Leaf отдаёт свои координаты любому RSS-провайдеру

    Похоже, в будущем нам придётся ставить файрвол не только на каждый персональный компьютер, но ещё и на личный автомобиль. По крайней мере, тот подход к информационной безопасности, который сейчас демонстрируют автопроизводители, совершенно не радует.

    Например, посмотрите, как работает информационная система Carwings в Nissan Leaf. Во-первых, автомобиль сохраняет постоянное подключение к интернету. Во-вторых, встроенная программа для чтения RSS-каналов подключается к веб-сервису Carwings, который выдаёт координаты вашего автомобиля стороннему провайдеру RSS-данных. Это делается для того, чтобы вы могли получать персонализированные RSS-сервисы вроде прогноза погоды в том регионе, где находитесь.

    Но интересно то, что при подписке на любой канал (например, новости CNN) провайдеру данных зачем-то отправляются ваши точные координаты.

    Один из счастливых владельцев автомобиля Nissan Leaf наладил экспорт RSS на своём собственном сервере, просто чтобы изучить механизм, как именно передаются координаты. В логах Apache он обнаружил такие запросы (конкретные координаты стёрты):

    61.202.253.100 - - [12/Jun/2011:16:19:39 -0600] “GET /rss.php?lat=47.xxxxxxxxxxxxx
    &lon=-122.yyyyy&lat_dst=47.xxxxxxxxxxxxx
    &lon_dst=-122.yyyyyyyyyyyy
    &lat_1=&lon_1=&lat_2=&lon_2=&lat_3=&
    lon_3=&lat_4=&lon_4=&lat_5=&lon_5=&car_dir=212&speed=0
    &language_navi=use
    &navi_set_t_zone=-8.00&navi_set_dst_d=mile&navi_set_tmp_d=F
    &navi_set_e_mlg_d=mile/kwh
    &navi_set_spd_d=mile/h& HTTP/1.1″ 200 641 “-” “Mozilla/5.0 (compatible;
    NISSAN CARWINGS; http://lab.nissan-carwings.com/CWC/)”

    Как видно, прямо в параметрах HTTP GET запрос содержит текущие координаты автомобиля (lat и lon), текущую скорость (speed), направление движения (car_dir) и координаты пункта назначения из навигационной системы автомобиля (lat_dst и lon_dst).



    Понятно, что производитель автомобилей хочет постоянно отслеживать эту информацию (по крайней мере, вряд ли они когда-нибудь откажутся от такой возможности), плюс они могут делиться этими данными с правоохранительными органами по запросу, но зачем выдавать её всем подряд? Весьма чувствительная информация отдаётся стороннему RSS-провайдеру, а ведь им может быть совершенно любой сайт в интернете.

    Как выглядит «утечка данных» из салона автомобиля, показано на видео ниже.



    Другими словами, на этот Nissan Leaf хорошо бы поставить обычный файрвол, который бы блокировал отправку координат через интернет. Но сейчас это сделать нельзя: таких файрволов не существует, а отключить штатную функцию передачи координат с Nissan Leaf невозможно. Перепрошивка встроенного софта является незаконной и может повлечь потерю гарантии на автомобиль. Вопрос в том, осознают ли проблему автопроизводители или для них действуют совершенно другие стандарты на защиту информации, не такие, как в компьютерной индустрии?

    Средняя зарплата в IT

    120 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 6 051 анкеты, за 1-ое пол. 2021 года Узнать свою зарплату
    Реклама
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее

    Комментарии 45

      +35
      Прочел. Испугался. Разозлился. Ализар. Успокоился.
        +47
        Давно поставил себе плагин chrome.google.com/webstore/detail/khmmlhdncbdfignflcjnaloehhammcji Сплю теперь крепко. Перестал пить валерьянку.
          +3
          А есть для лисы?
            0
            Увы не знаю (
              +6
              а для Nissan Leaf?
                0
                для опера бы такую штуку…
                  0
                  *оперы

                  написать чтоли…
            +2
            Это прекрасно.
              0
              полностью согласен, теперь сплю спокойно :)
              –1
              Экспресс газета :)
              +3
              Интересно, а что нынче в автомобилях за модули связи?
              3G с симкой или же как Whispernet 3G у Amazon Kindle?
              Второе вроде как круче, а у первого можно симку вынуть))
                0
                Прочел. Испугался. Задумался. Догадался. Ализар!
                +2
                Видимо индусы софт писали :)
                Мы вот недавно разгребали проект один — костыль на костыле, быдлокод на быдлокоде.
                Заметили что сайт тормозить начал когда народу на нём на тыщи 3 увеличилось.

                Так вот, эти товарищи при каждом обращении к скрипту делали curl-запрос куда-то чтобы получить XML'кой данные, которые можно вполне набрать используя оффлайн GeoIP базу.
                … но им там было, видимо, проще :)
                Этот эпик-фэйл мы пофиксили, а сколько ещё предстоит :(((
                  +4
                  хмм… вот и новый стартап! отслеживать координаты машины в то время, как ребята квартиру чистят.
                  ну и дополнительный сервис за дополнительные деньги…
                    +1
                    новый стартап — вещать свои координаты на трассе, чтоб из-за фуры не уебаться.
                    +1
                    Сразу вспоминается фильм «Враг государства»=))
                      +1
                      Последние несколько лет он должен быть самым вспоминаемым фильмом по идее.
                      +6
                      Уникального идентификатора автомобиля среди параметров запроса не заметил. Пока ещё нет причин бить тревогу.
                        0
                        IP адрес? при постоянном подключении вполне себе ID.
                          +2
                          Подключение там скорее всего по сотовым сетям, а там все за NAT'ом, поэтому пока можно не беспокоиться )
                          Хотя ведь можно анализировать перемещение, и на основе логов попытаться сопоставить.
                            0
                            А если там IPv6?
                              0
                              Ключевое слово ПОКА )
                              Что там будет дальше, когда IPv6 будет внедрен повсеместно, и сколько подобных топиков о нарушении приватности мы увидим, еще не известно.
                        +1
                        Я думаю это просто задел на будущее.
                          +3
                          Случаем, не так Бин Ладена запалили? Хотел погоду узнать и поехать на базар, но решил слетать на море.
                            +1
                            Ну да, бинладен же известный борец за Zero emissions и Green технолоджис.
                              +6
                              нет, Бин Ладена запалили сразу после утечки личных данных пользователей сони плейтейшон нетворк
                              0
                              Прикольный женский голос у машинки, прям как в фильме.
                                +5
                                >> Во-первых, автомобиль сохраняет постоянное подключение к интернету.

                                Это ужасно.
                                То ли дело наш автопром, у нас даже радиоприемник не в каждой машине рабочий.

                                Ребята, за персистентным интернет-подключением будущее всех мобильных помошников, сервисов и развлечений, считать это злом может либо параноик, либо идиот.

                                Выдавать спутниковые координаты сторонним сервисам правильно и полезно (активные пользователи Android согласятся), только делать это нужно исключительно с разрешения пользователя, с регулярными напоминаниями о передаче данных с возможностью ее немедленно прекратить.
                                  +3
                                  В этом и зло! А не в подключении самом по себе. Пользователь должен иметь право и возможность поставить файрвол или выключить передачу данных, которые он не контролирует. Отказываться от интернета — тупо, вместо этого надо прессовать производителей, чтобы прекращали этот беспредел.
                                  +13
                                  > Перепрошивка встроенного софта является незаконной и может повлечь потерю гарантии на автомобиль.

                                  Используйте свободные автомобили!
                                    –3
                                    и кричите «Свободная касса»!
                                      +10
                                      гентушники выберут ВАЗ :)
                                        +3
                                        Напечатанные на 3D-принтере, надо полагать:)
                                          0
                                          И разработанные на GNU/Emacs
                                        +3
                                        Нормальная защита от угонщика-дурака.
                                          +3
                                          Параноики выбирают ВАЗ :)))
                                            0
                                            Хочу себе такую магнитолу!
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                0
                                                Да.
                                                  0
                                                  Ежедневное уведомления о новых сервисах для владельцев Leaf, эксклюзив, только по приглашениям, подписывайся прямо сейчас!
                                                    0
                                                    бесплатно без смс
                                                0
                                                Все равно хочу Leaf
                                                  0
                                                  Скоро будут практически одинаковые машины, только с разными OS (по аналигии с телефонами).
                                                  =)
                                                    0
                                                    Китайский автопром еще не на такое способен!
                                                    0
                                                    Nissan решил «чем мы хуже Apple с iPhone»?

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                    Самое читаемое