headless 曰く、
Sirius XM の自動車リモート管理システムで、車体識別番号 (VIN) だけわかればさまざまなリモート操作が可能になる脆弱性が発見されていたそうだ
(HackRead の記事、
Sam Curry 氏のツイート)。発見者の Sam Curry 氏は異なるメーカーの自動車に影響する複数の脆弱性を調査しているうち、いずれも Sirius XM が供給するシステムであることを確認。Sirius XM のリモート管理システムは数多くの自動車メーカーが採用しているが、影響が確認されたのはホンダ (アキュラ含む) と日産 (インフィニティ含む) の製品のみ。これらの車両では HTTP リクエストの「customerId」パラメーターで実際の顧客 ID の代わりに VIN を使用できること、これにより顧客の名前や電話番号、住所などの取得やリモート操作コマンドの実行が可能であることが判明したという。
ドアのロック解除やエンジンの始動が可能なキーレスシステムの脆弱性は複数の車種でたびたび発見されているが、今回の脆弱性では加えて現在地の確認やクラクションを鳴らす、ライトを点滅させるといった操作も可能だったそうだ。Curry 氏は Sirius XM へ事前に問題を報告しており、既に修正されているとのことだ。
| セキュリティ
| バグ
| 交通
|
関連ストーリー:
ホンダ車のリモートキーレスエントリーシステムに脆弱性が発見される
2022年07月15日
ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性
2022年03月28日
24車種にキーレスエントリーの脆弱性があることが判明。電波増幅するシステムを悪用
2016年03月26日
Source: スラッシュドット
