16/05/07 11:03:11.68 CAP_USER*.net
日産自動車 <7201> が提供している自動車の機能管理アプリ「NissanConnect EV」の中で、日産自動車のプログラマーが、インターネット上のQAサイトに行った質問の答えの内容を十分に確認することなしにそのまま「コピペ」していたことがセキュリティーコンサルタントがTwitterを通じて行った指摘により明らかとなった。
今回、明らかになった問題とは、日産自動車のプログラマーが、ユーザーのロケーション確認のためのコードを当初、
(中略)
のように書いたが、上手く機能しなかたため、このことをStack Overflowに質問。それに対して、別のユーザーが、
(中略)
のようなコードを「info.plist」に追加すれば正しく機能すると答えたその答えをそのまま、実アプリの中にコピーして公開してしまったというものとなる。
もちろん、日産自動車のプログラマーがStack Overflowに判らないことを質問すること自体は問題ないし、回答を参考にプログラムを書き直したとしても著作権上の問題が生じるものでもない。
しかし、このやり取り、良く読むと判るように、回答した人は、ダミーのメッセージを回答例の中に入れてるが、日産自動車のプログラマーはこの解答例を良く読まずにそのままコピーしてしまったため、公開されたアプリの中に、ユーザーが回答したダミーのメッセージがそのまま埋め込まれるという問題が発生するところなってしまったのである。
今回の問題はネット上で良く問題となるコピペによる著作権侵害とは異なるが、自動車の大手の自動車メーカーが提供している自動車の機能管理アプリのようなアプリであってもプログラマー以外の第三者が検証することもなしに、プログラマーの判断でそのまま公開されてしまっているということがセキュリティー専門家の間からは驚きをもって迎え入れられている。
今回、問題が指摘されたNissanConnect EVは、今年の2月にも深刻なセキュリティー上の問題を抱えていることが、専門サイトのCNETに掲載された記事で明らかとなっていた。
URLリンク(business.newsln.jp)
(コードの詳細はリンク先にあります)