日産リーフのアプリに脆弱性、運転履歴やエアコン操作が可能に
この記事にはアフィリエイト広告・広告が含まれています。
日産のリーフ向けに提供されているアプリに脆弱性があり、認証システムがなく車体固有IDを変更することで走行距離などを含む運転履歴やエアコンのON/OFF操作が行えることが判明しました。
日産リーフのアプリに脆弱性
リーフのアプリ脆弱性を伝える動画を作成したトロイ・ハント氏(オーストラリア在住)は映像の中で、遙か彼方に住まう協力者スコット氏のリーフを遠隔操作する様子を公開しました。
遠隔操作の概要
トロイ・ハント氏は3つの特定URLが書かれたメモを紹介、そこにはAC ON(エアコンON)、AC OFF(エアコンOFF)、Driving History(運転履歴)とあり、必要な情報は車体を識別するためのVINという固有IDだけでログインなどの個別認証は設けられていない説明、同氏はVINを変更することでスコット氏のリーフを遠隔操作して見せました。
エアコンON/OFFも勝手に行われると迷惑な話ですが、運転履歴は最近の走行距離や月間の走行回数などプライベートな内容が知られてしまいます。
脆弱性の発覚から日産がアプリを停止するまで
トロイ・ハント氏はリーフ向けアプリ脆弱性についてワークショップに参加していた学生より知り、日産へ問題を報告したところ返事があったものの、その後の修正する気配がないことからリーフ所有者に注意を促すために情報を公開したそうです。
その後、日産はアプリのサービスを停止しています。
Source:troyhunt.com
