Sikkerhetsproblemer i Nissan Connect

[eNVoy]

Flott at det er fikset! Jeg har skrudd på alt av emailnotifikasjon for f.eks. å få beskjed hvis noen evt skrur på klimaanlegget mitt for the lolz. En bekymring mindre.

Og hvordan skal de klare å holde API-et sitt hemmelig når det sitter flinke folk og har full kontroll på android enheten/nettverket etc.

HTTPS mellom app og server, og nøkler i app/bil som gjør at den bare svarer på kommandoer fra autorisert software. Men jeg er ikke akkurat hacker da. Godt mulig det går å knekke det uansett, med MITM/sertifikatforfalskning/whatever.

Fordelen med å slippe fri API/ikke etterstrebe å gjøre det vanskelig å bruke er at det dukker opp applikasjoner fra tredjepart som er bedre enn ens egne. Leaf manager er ganske mange ganger bedre enn Nissan EV appen.

Amen. Ser bare ikke for meg en bilprodusent som tenker sånn, de er vel gjerne hyperkonservative...? (Unntatt Elonmobile...)

[Rio]

Har Tesla åpent, tilgjengelig API?

[turfsurf]

Tesla sitt API er public tilgjengelig ja. Kan jo ikke gjøre alt derifra, men ganske mye. Krever kun passord.

[Bondeknøl]

Og ikke minst at hvemsomhelst(*) kan se at du stoppet ved godtebutikken hver Lørdagskveld!?!?

Det gjør ingenting at folk ser at jeg stopper på godtebutikken hver lørdagskveld, men alle de andre dagene i uka vil jeg ikke bli sett!.

Er jo ikke imponerende at dette systemet er såpass dårlig sammenlignet med en ellers veldig bra bil, men det plager meg ikke så mye at folk kan se hvor jeg er. Jeg er jo ellers veldig synlig der jeg kjører rundt.

Er det ikke mye verre at vi blir filmet til stadighet av dashbordkamera?

[Rio]

Tesla sitt API er public tilgjengelig ja. Kan jo ikke gjøre alt derifra, men ganske mye. Krever kun passord.

Vil det si at du kan lage egen mobilapp for å styre ting i bilen?

[Burger]

Er jo ikke imponerende at dette systemet er såpass dårlig sammenlignet med en ellers veldig bra bil, men det plager meg ikke så mye at folk kan se hvor jeg er. Jeg er jo ellers veldig synlig der jeg kjører rundt.

Calm down :-)

Dette ble fikset i februar ish i år, uten korrekt brukernavn og passord så går det i dass.

eNVoy: Angående https mellom server og klient har et problem når 'fi' er eier av klienten. Da kan man reversenginere applikasjonen, se i minnet hva som skjer når den kjører osv. Dette har vært prøvd å blitt fikset på PC plattformen med "Trusted computing", også kalt "TPM". TPM baserer seg på at eier av enheten er fienden og man må ha ting hemmelig for eier. Så TPM eller Trusted Computing handler ikke om å gjøre eier av en enhet tryggere, men å sørge for at eier av enheten ikke kan finne på å bruke den annerledes enn tenkt eller la være å betale lisens.