Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

日産EV車向けアプリに脆弱性 - 認証なしでAPIへアクセス

日産自動車が同社電気自動車のオーナー向けに提供している専用アプリ「日産EV」に、脆弱性が判明した。第三者がリモートより操作したり、運行状況の取得が可能だったという。

20160229_nc_001.jpg
脆弱性が判明した日産EV(画像:日産)

同アプリは、同社のEV車オーナー向けに提供されているもので、リモート操作で充電を行う「今すぐ充電」や、リモート操作でエアコンのオン、オフを行う「乗る前エアコン」などの機能を提供するスマートデバイス向けアプリ。

今回の脆弱性は、ノルウェーのセキュリティ研究者であるTroy Hunt氏が明らかにしたもの。同氏が開催するセキュリティのワークショップにおいて、同アプリのAPI機能に問題があることが判明。他セキュリティ関係者の協力のもとに詳細が判明したという。

問題のアプリでは、APIに対してHTTPSによるGET要求を行う際、認証を行っていなかったもので、車両を識別する数桁の番号を変更することで第三者によるなりすましが可能となる状態だった。

今回見つかった脆弱性に関して、日産自動車は個人情報の漏洩や自動車の運転に直接関連する機能への影響はないと説明。一方セキュリティ研究者は、車両の運行歴を取得でき、行動を把握されるなどプライバシーが侵害される懸念を示している。

日産自動車では今回の問題が判明したことを受け、今回の問題を受けて、アプリ経由の機能提供を停止。同機能を専用サイト「N-Link OWNERS」「日産ゼロ・エミッションサイト」より提供している。

(Security NEXT - 2016/02/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

コンテナ管理プラットフォーム「Rancher」に深刻な脆弱性
macOS向けアップデート - 複数脆弱性を修正
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性
「BIND 9」にサービス拒否の脆弱性 - アップデートが公開
「Chrome」にセキュリティアップデート - 複数脆弱性を修正
WordPress向けショッピングカートプラグインに脆弱性 - 任意のファイルを閲覧されるおそれ
VMwareのログ管理ツールに複数の深刻なRCE脆弱性
米政府、「ManageEngine」の脆弱性に対する攻撃に注意喚起
「GitHub Enterprise Server 3.7.4」が公開 - Gitの脆弱性に対処
Apple、アップデート「iOS 16.3」などを公開 - 複数脆弱性を修正