日産自動車、EV専用スマホアプリ「日産EV」にリモートアクセス可能な脆弱性を確認
日産自動車にてEV専用スマホアプリ「日産EV」に第三者がEV-ITリモート機能を利用できる脆弱性が確認された。日産EVアプリはEV車のサブスクリプション契約を結んでいる利用者向けアプリで、充電状況に関する確認・通知機能、走行距離の確認、環境制御システム切替機能などを提供する。今回の脆弱性はノルウェーのセキュリティ研究者が開催したセキュリティワークショップで当該アプリのAPI機能に問題があることを発見した。この研究者によると、このアプリのAPIに認証機能が実装されていないため、車両識別番号の下5桁がわかると他人の車を制御できてしまうことが判明した。実際に、同研究者がオーストラリアにいる知人のリーフでエアコンやファンを作動させたり運転履歴を取得した実験のビデオも公開している。これを受け、同社は当該アプリ機能を停止している。ただし、専用サイトのN-Link OWNERS、日産ゼロ・エミッションサイトからの操作は可能となっているとして、こちらの専用サイトを利用するよう呼びかけている。なお、LEAFおよびe-NV200のクルマの運転に関わる機能・個人情報の漏洩はないとしている。
