日産EV車向けアプリに脆弱性 - 認証なしでAPIへアクセス

日産自動車が同社電気自動車のオーナー向けに提供している専用アプリ「日産EV」に、脆弱性が判明した。第三者がリモートより操作したり、運行状況の取得が可能だったという。

脆弱性が判明した日産EV（画像：日産）

同アプリは、同社のEV車オーナー向けに提供されているもので、リモート操作で充電を行う「今すぐ充電」や、リモート操作でエアコンのオン、オフを行う「乗る前エアコン」などの機能を提供するスマートデバイス向けアプリ。

今回の脆弱性は、ノルウェーのセキュリティ研究者であるTroy Hunt氏が明らかにしたもの。同氏が開催するセキュリティのワークショップにおいて、同アプリのAPI機能に問題があることが判明。他セキュリティ関係者の協力のもとに詳細が判明したという。

問題のアプリでは、APIに対してHTTPSによるGET要求を行う際、認証を行っていなかったもので、車両を識別する数桁の番号を変更することで第三者によるなりすましが可能となる状態だった。

今回見つかった脆弱性に関して、日産自動車は個人情報の漏洩や自動車の運転に直接関連する機能への影響はないと説明。一方セキュリティ研究者は、車両の運行歴を取得でき、行動を把握されるなどプライバシーが侵害される懸念を示している。

日産自動車では今回の問題が判明したことを受け、今回の問題を受けて、アプリ経由の機能提供を停止。同機能を専用サイト「N-Link OWNERS」「日産ゼロ・エミッションサイト」より提供している。

（Security NEXT - 2016/02/29 ）ツイート