Nissan Leaf-auto's waren op afstand te hacken

Een app waarmee bezitters van een Leaf, een elektrische auto van Nissan, hun auto over het internet konden bedienen, was nauwelijks beveiligd. Dat stelt beveiligingsonderzoeker Troy Hunt van Microsoft. Een kwaadwillende had bijvoorbeeld op afstand de airconditioning aan kunnen zetten, waardoor de accu van de auto werd uitgeput.

Nissan erkent het beveiligingsprobleem. "We hebben de servers van de app offline gehaald", zegt woordvoerder Marco Verweij van Nissan Nederland. "Die gaan pas weer aan als het probleem is opgelost." Hij verwacht dat dat snel zal gebeuren. Volgens Verweij zijn de meeste in Nederland verkochte Leaf-auto's getroffen.

Nauwelijks beveiliging

De app bleek niet te controleren of een gebruiker een auto wel mag bedienen, ontdekte Hunt. Daardoor kon iedereen die het identificatienummer (VIN-nummer) van een auto wist, met de auto communiceren.

Een kwaadwillende had bijvoorbeeld met hulp van een programma het VIN-nummer van een auto kunnen achterhalen, door herhaaldelijk verzoeken naar de servers van Nissan te sturen. Ook is het VIN-nummer van buiten de auto leesbaar in het dashboard.

Geen besturing

De kwetsbaarheid lijkt op een probleem met Chryslers van afgelopen zomer. Bij de Chryslers kon de auto op afstand worden bestuurd. Dat was in dit geval niet mogelijk. Ook kon de auto niet op afstand worden gestart. Wel kon een kwaadwillende bijvoorbeeld opvragen waar de bezitter van een Nissan Leaf de afgelopen jaren heeft gereden.

Of er misbruik is gemaakt van het beveiligingsprobleem, is onbekend. Volgens Hunt werd het probleem op internet echter al bediscussieerd, dus was het probleem al bij anderen bekend voordat het werd gedicht.