一般的に使われている2種類の自動車用アラームシステムが、セキュリティの脆弱性を修正した。それらのシステムの以前の状態では、研究者が車両を遠隔操作で追跡し、乗っ取って、その車をコントロールすることができた。
英国のサイバーセキュリティ会社のPen Test Partnersの研究者によると、ロシアのアラームメーカーのPandoraと、米国カリフォルニアに拠点を置くViper(英国でのブランド名はClifford)によって開発されたシステムは、簡単なサーバー側のAPIの操作に脆さを露呈した。米国時間の3月8日に投稿されたところによれば、APIを悪用して、アラームシステムのユーザーアカウントと、その車両の制御を獲得することができたという。
その脆弱なアラームシステムのAPIは、リクエストが正当なものであるかどうかを確認することを怠るため、そのアカウントのパスワードをリセットするよう騙すことができ、研究者がログインできた。
研究者はテストのためにアラームを購入したが、「だれでも」本物のアカウントにアクセスするためのユーザーアカウントを作成したり、その会社のすべてのユーザーデータを引き出すことができる状態だったという。
研究者によると、全世界でおよそ300万台の車がこの欠陥の影響を受ける状態にあったはずとのこと。
このハッキングの実証実験では、研究者はターゲット車両の地理的位置を特定し、それをリアルタイムで追跡し、実際に追尾して、遠隔操作でエンジンを切り、車を停止させ、ドアのロックを解除した。研究者は、脆弱な車両を乗っ取るのは「取るに足らない」ことだったと述べた。さらに悪いことに、車のモデルを特定できる場合もあり、高価な車を見定めて乗っ取ることを容易にする。
さらに研究者は、車載マイクロフォンの音声を聞くことができることまで発見した。それは、緊急サービスへの電話や、ロードサービスのために、Pandora社のアラームシステムが備えているものだ。
Pen Test Partnersの創立者であるKen Munro氏は、これは彼らとして「最大の」プロジェクトだったと、TechCrunchに語った。
こうした脆弱性の深刻さを考慮して、研究者は7日間の開示期間を設け、PandoraとViperの両社に連絡を取った。両社とも即座に応答し、この欠陥に対処した。
問い合わせに対し、ViperのChris Pearsonは、その脆弱性が修正されたことを認めた。「悪意によって使われた場合、その欠陥によって承認なしに顧客のアカウントにアクセスされる可能性がありました」。
Viperによれば、サービスプロバイダによる最近のシステムアップデートのせいで発生したバグであり、問題は「すみやかに修正された」ということだ。
「Directed社(Viperの親会社)は、この脆弱性が存在した短期間の間に、顧客データが露出されることもなく、承認なしにアカウントがアクセスされたこともなかったと確信しています」と、Pearson氏は述べた。しかし、会社がどうやってそういう結論に達したのかという証拠は明らかにしなかった。
一方、PandoraのAntony Noto氏は、長いメールで研究者の指摘に反論した。要約すると、「システムの暗号化は破られず、リモートコントロールはハッキングされず、タグは複製されていません」ということ。「ソフトウェアの不具合により、一時的に短期間だけデバイスにアクセスすることができましたが、現在は対処されています」。
今回の調査は、CalAmp社に対して昨年行われたVangelis Stykasによる研究に続くもの。同社はViperのモバイルアプリの基盤となっているテレマティックスを提供している。Stykasは、後にPen Test Partnersに入社し、カーアラームの調査プロジェクトにも携わった人物。Viperのアプリが、アプリ内にハードコーディングされた認証情報を利用して中央のデータベースにログインしていることを発見した。それにより、ログインしている人は誰でも、接続された車をリモートコントロールすることができる状態になっていた。
(関連記事:Outdoor Tech’s Chips ski helmet speakers are a hot mess of security flaws)
[原文へ]
(翻訳:Fumihiko Shibata)
