Nissan har deaktivert bruken av NissanConnect EV-appen til el-bilen Nissan Leaf etter at det i går ble offentlig kjent at appen og det tilhørende programmeringsgrensesnittet er preget av særdeles mangelfull sikkerhet. Dette skriver blant annet USA Today. Også flere digi.no-lesere forteller at grensesnittet ikke lenger er tilgjengelig.
Enda mer svak sikkerhet
Programmeringsgrensesnittet som appen bruker, er webbasert og uten noen form for tilgangskontroll, til tross for at brukerne av appen må logge seg på med brukernavn og passord.
Våre lesere forteller også at mye tyder på at dette passordet heller ikke blir brukt eller lagret på noen sikker måte av Nissan.
Blant annet er passordet er oppgitt i nettadressen (URL-en) som appen brukes, noe som gjør det enklere å fange opp av uvedkommende. Dessuten forteller en leser at han har fått tilsendt passordet med e-post, noe som kan tyde på at det ikke er sikret hos Nissan med en enveishash, men i verste fall er lagret i klartekst.
Det er nok av eksempler på at angrep mot passorddatabaser har ført til offentliggjøring av store mengder passord.
Spesielt interessant er alt dette når man leser hva selskapet skriver om sikkerheten til NissanConnect på denne siden.
«Nye NissanConnect overholder de strengeste forskriftene på dette området. I tillegg har Nissans team med interne eksperter gjennomgått denne teknologien med tanke på alle tenkelige forhold i Europa for å sørge for at kundens bruk er sikker.»
Nå er det riktignok slik at NissanConnect utgjør hele infotainment-systemet i bilen, ikke bare appen. Og sikkerhetstestene dreier seg nok primært om ganske andre forhold enn informasjonssikkerhet.
Nissan svarer
Nissan har i liten grad kommet med informasjon om problemene. Selskapets nordiske kommunikasjonsdirektør, Taina Erkkilä, har bare sendt oss følgende pressemelding som svar på spørsmål om hvordan en så grov feil kan bli gjort, og om hvorfor selskapet i så begrenset grad har informert kundene gjennom de mest populære kanalene, slik som sosiale medier.
The NissanConnect EV app (formerly called CarWings and is used for the Nissan LEAF and eNV200) is currently unavailable.
This follows information from an independent IT consultant and subsequent internal Nissan investigation that found the dedicated server for the app had an issue that enabled the temperature control and other telematics functions to be accessible via a non-secure route.
No other critical driving elements of the Nissan LEAF or eNV200 are affected, and our 200,000-plus LEAF and eNV200 drivers across the world can continue to use their cars safely and with total confidence. The only functions that are affected are those controlled via the mobile phone – all of which are still available to be used manually, as with any standard vehicle.
We are of course very sorry and apologize for the disappointment caused to our Nissan LEAF and eNV200 customers who have enjoyed the benefits of our mobile apps. However, the quality and seamless operation of our products is paramount.
We're looking forward to launching updated versions of our apps very soon – our technical teams are working on the solution at the moment.
Den samme pressemeldingen er gjengitt også av flere amerikanske medier.
Globalt skal det ha blitt solgt mer enn 200 000 eksemplarer av Nissan Leaf. Bilen er spesielt populær i Norge, hvor det bare i fjor ble solgt over 3000 eksemplarer.