Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

日産EV車向けアプリに脆弱性 - 認証なしでAPIへアクセス

日産自動車が同社電気自動車のオーナー向けに提供している専用アプリ「日産EV」に、脆弱性が判明した。第三者がリモートより操作したり、運行状況の取得が可能だったという。

20160229_nc_001.jpg
脆弱性が判明した日産EV(画像:日産)

同アプリは、同社のEV車オーナー向けに提供されているもので、リモート操作で充電を行う「今すぐ充電」や、リモート操作でエアコンのオン、オフを行う「乗る前エアコン」などの機能を提供するスマートデバイス向けアプリ。

今回の脆弱性は、ノルウェーのセキュリティ研究者であるTroy Hunt氏が明らかにしたもの。同氏が開催するセキュリティのワークショップにおいて、同アプリのAPI機能に問題があることが判明。他セキュリティ関係者の協力のもとに詳細が判明したという。

問題のアプリでは、APIに対してHTTPSによるGET要求を行う際、認証を行っていなかったもので、車両を識別する数桁の番号を変更することで第三者によるなりすましが可能となる状態だった。

今回見つかった脆弱性に関して、日産自動車は個人情報の漏洩や自動車の運転に直接関連する機能への影響はないと説明。一方セキュリティ研究者は、車両の運行歴を取得でき、行動を把握されるなどプライバシーが侵害される懸念を示している。

日産自動車では今回の問題が判明したことを受け、今回の問題を受けて、アプリ経由の機能提供を停止。同機能を専用サイト「N-Link OWNERS」「日産ゼロ・エミッションサイト」より提供している。

(Security NEXT - 2016/02/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Cisco Unified CM」のSSRF脆弱性、悪用に注意
「macOS Tahoe 26.5.2」公開 - 脆弱性37件を修正
「IBM Db2」に深刻な脆弱性 - 暫定的な修正を提供
米当局、「SharePoint Server」の脆弱性悪用に注意喚起
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正
「Adobe Campaign Classic」に悪用リスクが高い脆弱性
「Chrome」にアップデート - 382件の脆弱性に対応