日産リーフのアプリに脆弱性、運転履歴やエアコン操作が可能に

 日産のリーフ向けに提供されているアプリに脆弱性があり、認証システムがなく車体固有IDを変更することで走行距離などを含む運転履歴やエアコンのON/OFF操作が行えることが判明しました。

leaf-remote

日産リーフのアプリに脆弱性

 リーフのアプリ脆弱性を伝える動画を作成したトロイ・ハント氏(オーストラリア在住)は映像の中で、遙か彼方に住まう協力者スコット氏のリーフを遠隔操作する様子を公開しました。

遠隔操作の概要

 トロイ・ハント氏は3つの特定URLが書かれたメモを紹介、そこにはAC ON(エアコンON)、AC OFF(エアコンOFF)、Driving History(運転履歴)とあり、必要な情報は車体を識別するためのVINという固有IDだけでログインなどの個別認証は設けられていない説明、同氏はVINを変更することでスコット氏のリーフを遠隔操作して見せました。

 エアコンON/OFFも勝手に行われると迷惑な話ですが、運転履歴は最近の走行距離や月間の走行回数などプライベートな内容が知られてしまいます。

脆弱性の発覚から日産がアプリを停止するまで

 トロイ・ハント氏はリーフ向けアプリ脆弱性についてワークショップに参加していた学生より知り、日産へ問題を報告したところ返事があったものの、その後の修正する気配がないことからリーフ所有者に注意を促すために情報を公開したそうです。

 その後、日産はアプリのサービスを停止しています。

Source:troyhunt.com

よく一緒に閲覧される記事

ANKER製品、セブンイレブンで販売へ

アンカージャパンは10月19日、全国のセブン-イレブンにてAnkerお

ズボラOKでパワフルな象印の加湿器「EE-RQ35」購入レビュー

頻繁なフィルター交換やブラシ掃除が必要だったり、水を残して1週間も使わ

新型「nasne」は2021年春リリース、発表時点で判明したこと。

バッファロー は10月7日、ソニー・インタラクティブエンタテインメ

→もっと見る

  •  
     

PAGE TOP ↑