Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

日産EV車向けアプリに脆弱性 - 認証なしでAPIへアクセス

日産自動車が同社電気自動車のオーナー向けに提供している専用アプリ「日産EV」に、脆弱性が判明した。第三者がリモートより操作したり、運行状況の取得が可能だったという。

20160229_nc_001.jpg
脆弱性が判明した日産EV(画像:日産)

同アプリは、同社のEV車オーナー向けに提供されているもので、リモート操作で充電を行う「今すぐ充電」や、リモート操作でエアコンのオン、オフを行う「乗る前エアコン」などの機能を提供するスマートデバイス向けアプリ。

今回の脆弱性は、ノルウェーのセキュリティ研究者であるTroy Hunt氏が明らかにしたもの。同氏が開催するセキュリティのワークショップにおいて、同アプリのAPI機能に問題があることが判明。他セキュリティ関係者の協力のもとに詳細が判明したという。

問題のアプリでは、APIに対してHTTPSによるGET要求を行う際、認証を行っていなかったもので、車両を識別する数桁の番号を変更することで第三者によるなりすましが可能となる状態だった。

今回見つかった脆弱性に関して、日産自動車は個人情報の漏洩や自動車の運転に直接関連する機能への影響はないと説明。一方セキュリティ研究者は、車両の運行歴を取得でき、行動を把握されるなどプライバシーが侵害される懸念を示している。

日産自動車では今回の問題が判明したことを受け、今回の問題を受けて、アプリ経由の機能提供を停止。同機能を専用サイト「N-Link OWNERS」「日産ゼロ・エミッションサイト」より提供している。

(Security NEXT - 2016/02/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「SSL VPN」の脆弱性探索行為、国内でも観測
Intel CPUにネットワーク経由で情報漏洩のおそれ - 「NetCAT攻撃」明らかに
OpenSSLにアップデート、重要度「低」の脆弱性3件に対応
「Chrome 77」で52件のセキュリティ修正 - EV証明書の常時組織名表示を削除
「Chrome」がアップデート、重要度「高」の脆弱性を修正
「Flash Player」に2件の深刻な脆弱性 - アップデートをリリース
MS、月例パッチで脆弱性79件を修正 - 一部でゼロデイ攻撃が発生
CMSの「SHIRASAGI」にオープンリダイレクトの脆弱性
法人向け「ウイルスバスター」狙う攻撃が複数発生 - 設定無効化のおそれ
「Exim」に深刻な脆弱性 - リモートよりコマンド実行のおそれ