タグ

Securityとapiに関するchess-newsのブックマーク (1)

  • 日産「リーフ」のアプリに脆弱性、他人の車を遠隔操作可能に

    アプリのAPIに認証の仕組みがなく、車両識別番号の下5ケタが分かれば、他人の車を制御できることが判明。オーストラリアからインターネット経由で、英国にあるリーフのエアコンやファンを作動させたり、運転履歴を取得することができてしまった。 日産自動車の電気自動車「リーフ」の専用アプリに、他人のリーフのエアコンなどを遠隔操作できてしまう脆弱性があることが分かり、セキュリティ研究者が2月24日、ブログで詳細を公表した。地球の裏側から他人の車を操作する実証ビデオも公開している。 セキュリティ研究者トロイ・ハント氏のブログによると、問題が発覚したきっかけは、同氏がノルウェーで行ったワークショップで、たまたまリーフを保有している参加者が、iPhoneアプリのリスクを指摘したことだった。 詳しく調べたところ、リーフのアプリのAPIには認証の仕組みが実装されておらず、個々の車に割り当てられている車両識別番号(

    日産「リーフ」のアプリに脆弱性、他人の車を遠隔操作可能に
    chess-news
    chess-news 2016/02/25
    認証がないって事は、罪にもならない?/ (追記) ひょっとして、車にF5アタックできるのかな 秒間数万回設定変えたら 車の処理落ちしたりして
  • 1