研究者は、メルセデス、BMW、ポルシェ、フェラーリ車のシステムに深刻な脆弱性を発見しました

ジャカルタ-研究者のグループは、ハッカーが所有者の個人データを盗むだけでなく、車両をリモートで移動できる、世界最大の自動車メーカーのいくつかからの抜け穴を発見しました。

7人の研究者には、バグ賞金稼ぎとYuga LabsのスタッフセキュリティエンジニアであるSam Curryが含まれていました。彼らは、16社もの大手自動車メーカーと3つの車両技術ベンダーの製品にセキュリティの抜け穴があることを発見しました。

この抜け穴は非常に危険であり、車両の物理的な制御につながるコマンドの実行は言うまでもなく、アカウントの乗っ取り、リモートコード実行(RCE)につながる可能性があります。

一部の脆弱性は、ハッカーを自動車アプリに保存されている自動車ユーザーの個人を特定できる情報(PII)に直接誘導することにより、情報の盗難にも使用できます。

重大な問題の1つは、一部の自動車メーカーが独自のテクノロジーを構築する代わりにサードパーティのAPIソフトウェアに依存していることです。カリーによると、この脆弱性はフォード、トヨタ、メルセデス、BMW、ポルシェ、フェラーリなどに影響を与えます。

カリーと彼の仲間の研究者が深く掘り下げると、車両識別番号(VIN)でどれだけの情報と影響が得られるかにうれしく驚きました。

「VIN番号は非常に一般的です。車まで歩いてVIN番号を取得できます。しかし、これらのAPIの多くでは、VIN番号があれば、その人のフルネームまたは車両のバッテリーレベルを返すだけで、アカウントに追加できます」とCurry氏は述べています。

研究者は、VIN番号を使用して、大量の個人情報を含む所有者の車両アカウントを完全に制御できるだけでなく、リモートでロックとロック解除、エンジンの停止、起亜、ホンダ、インフィニティ、日産、アキュラなどの他の車両の検索を行うこともできます。

さらに、研究者は、デジタルナンバープレート会社Reviverに接続されている車両のすべてのユーザーおよび車両アカウントを管理するための管理アクセスを取得することもできます。

この脆弱性は、GPSを介して車両の物理的な位置を追跡し、ナンバープレートに盗まれたとマークするために研究者によって使用される可能性があります。声明の中で、Reviverは、脆弱性が悪用されたという証拠は見つからず、将来これが起こらないようにするためにさらなる措置を講じたと述べた。

「これらの各企業には、クレジットローンのポータルがあります。そのため、名前、住所、請求情報など、たくさんの情報があります」とカリー氏は述べています。

カリーは、彼とチームが報告したすべての欠点が自動車会社によって修正されたと言いました。

現在修正された脆弱性は、GPSプロバイダーのSpireon、車両通信システムベンダーのSiriusXM、自動車プラットフォームアズアサービスプロバイダーのReviver、およびロールロイス、BMW、フェラーリ、メルセデスベンツ、ジャガー、ポルシェ、ランドローバー、トヨタ、ホンダ、日産、ヒュンダイ、フォード、起亜、アキュラ、ジェネシス、インフィニティなどの下流の顧客でした。

「ある自動車会社に脆弱性を見つけて報告し、別の自動車会社に切り替えれば、まったく同じことになるでしょう」と、カリーは1月9日月曜日のCyberScoopから引用されたブログ投稿で述べています。

調査結果は、自動車メーカーが車両のソフトウェアの量を増やし続け、所有者に車に接続するためのアプリを提供し続けているため、消費者と自動車メーカーのセキュリティリスクを強調しています。Curryの調査結果により、自動車メーカーはサイバーセキュリティに焦点を当てるためにもっと多くのことをしなければならないことが示唆されています。