Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

日産EV車向けアプリに脆弱性 - 認証なしでAPIへアクセス

日産自動車が同社電気自動車のオーナー向けに提供している専用アプリ「日産EV」に、脆弱性が判明した。第三者がリモートより操作したり、運行状況の取得が可能だったという。

20160229_nc_001.jpg
脆弱性が判明した日産EV(画像:日産)

同アプリは、同社のEV車オーナー向けに提供されているもので、リモート操作で充電を行う「今すぐ充電」や、リモート操作でエアコンのオン、オフを行う「乗る前エアコン」などの機能を提供するスマートデバイス向けアプリ。

今回の脆弱性は、ノルウェーのセキュリティ研究者であるTroy Hunt氏が明らかにしたもの。同氏が開催するセキュリティのワークショップにおいて、同アプリのAPI機能に問題があることが判明。他セキュリティ関係者の協力のもとに詳細が判明したという。

問題のアプリでは、APIに対してHTTPSによるGET要求を行う際、認証を行っていなかったもので、車両を識別する数桁の番号を変更することで第三者によるなりすましが可能となる状態だった。

今回見つかった脆弱性に関して、日産自動車は個人情報の漏洩や自動車の運転に直接関連する機能への影響はないと説明。一方セキュリティ研究者は、車両の運行歴を取得でき、行動を把握されるなどプライバシーが侵害される懸念を示している。

日産自動車では今回の問題が判明したことを受け、今回の問題を受けて、アプリ経由の機能提供を停止。同機能を専用サイト「N-Link OWNERS」「日産ゼロ・エミッションサイト」より提供している。

(Security NEXT - 2016/02/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Apple、「iOS」「iPadOS」のセキュリティアップデートを公開
「Firefox 124.0.1」が公開、深刻な脆弱性2件を解消
ブラウザ「MS Edge」にアップデート - 9件の脆弱性を修正
Google、ブラウザ最新版「Chrome 123」をリリース - 複数脆弱性を修正
「GitHub Enterprise Server」に複数脆弱性 - アップデートが公開
Ivantiの複数製品に深刻な脆弱性 - 早急なパッチ適用を強く推奨
Atlassian、3月の月例アドバイザリを公開 - 脆弱性24件に対応
「Firefox 124」が公開、「クリティカル」含む脆弱性12件を修正
WordPress向け求人プラグインに脆弱性 - リモートよりコード実行のおそれ
「Microsoft Edge」にアップデート - 脆弱性4件を解消