研究者によって発見された大手自動車メーカーのディーラーシステムの脆弱性は、遠隔から車両をハッキングし、個人情報を取得するために悪用される可能性がありました。
この調査結果は、週末にTraceableの研究者イートン・ズヴェアー氏によってDEF CONハッキングカンファレンスでまとめられました。研究者はSecurityWeekに対し、近日中に調査結果の詳細を記したブログ記事を公開すると語りました。
近年、ズヴェアー氏はホンダやトヨタなど、複数の大手自動車メーカーのオンラインプラットフォームに脆弱性を発見しています。
彼の最新の調査は、ある未公表の自動車メーカーに属する全米1,000以上のディーラーで使用されているオンラインプラットフォームに焦点を当てています。このプラットフォームは、車両の注文、販売、顧客管理に利用できます。インターネット経由でアクセス可能ですが、ディーラーの従業員はアカウント登録のために招待が必要です。
しかし、研究者は招待がなくてもアカウント登録フォームを見つけることができ、プロフィール更新機能とAPIの脆弱性を悪用して、プラットフォームへの完全なアクセス権を持つ「ナショナル管理者」アカウントを作成することに成功しました。
[ 関連記事: 無料Wi-Fiがバスを遠隔ハッキングの脆弱性に ]
ズヴェアー氏は、このプラットフォームがディーラーに対して顧客名や車両のVINから車両を検索できる機能を提供していることに気付きました。影響を受けた自動車メーカーの車両を所有する友人の協力を得てテストを行い、新たに作成したアカウントに車両の所有権を移転できることを確認しました。
ターゲット車両と紐付けた自身のアカウントを使い、ズヴェアー氏は関連するモバイルアプリケーションを利用して、車両の位置を遠隔追跡したり、解錠したり、エンジンを始動したりすることができました。
広告。スクロールして読み続けてください。
研究者は、この攻撃は2012年以降に製造された標準テレマティクスモジュール搭載のすべての車種に対して有効だった可能性があり、攻撃者は被害者の名前さえ知っていれば十分だったと考えています。
さらに調査を進める中で、ズヴェアー氏は同ブランドが使用する別のポータル(代車用など)も発見し、そこでも権限昇格に成功。顧客や従業員の個人情報、契約書、財務書類、車両追跡、その他の内部機能にアクセスできるようになりました。
アプリケーションおよびAPIセキュリティを専門とするTraceableはSecurityWeekに対し、影響を受けた自動車メーカーの名前は公表しないが、通知後に同社が脆弱性に対応したと述べました。
「この調査の目的は特定の企業を非難することではなく、しばしば見過ごされがちなディーラーとメーカーのプラットフォームに存在する、より広範で体系的なリスクを明らかにすることです。企業名を挙げることは、本当に重要な業界全体のセキュリティ向上という議論から逸れてしまいます」とTraceableは述べています。