真新しい電気自動車で高速道路を快適に走っていると、突然マルチメディアディスプレイが名作3Dシューティングゲーム「Doom」で埋め尽くされ、ナビ地図や車両制御が完全に置き換わってしまう――そんな状況を想像してみてください。驚くべきことに、これはSFではありません。
セキュリティ研究者は実証により、今日のコネクテッドカーではこのシナリオが完全に起こり得ることを示し、統合型セルラーモデムで動作する車載ヘッドユニットに重大な脆弱性があることを明らかにしました。
インターネット接続デバイスの普及は、スマートフォンやノートPCにとどまりません。現代の車両、工場、列車、さらには航空機までもが、組み込みモデムを介した3G/4G/5G接続に依存しています。
これらのモデムの多くはSystem-on-Chip(SoC)アーキテクチャに統合されており、ネットワーク接続を担う通信プロセッサ(CP)と、車両のOSを動かすアプリケーションプロセッサ(AP)を内包しています。
重大な問題は、これらのコンポーネントがマイクロアーキテクチャレベルで相互作用する点にあります。そこはメーカーだけが知る「ブラックボックス」でありながら、システム全体のセキュリティの根幹を成しています。
研究者が、現代の中国製車載ヘッドユニットで一般的に見られるUnisoc UIS7862A SoCを調査したところ、モデムのセルラープロトコルスタック全体にわたって複数の重大な脆弱性が見つかりました。
最も重要な発見は、3GのRLC(Radio Link Control)プロトコル実装におけるスタックベースのバッファオーバーフローで、CVE-2024-39432として追跡されています。
この脆弱性により、攻撃者はセルラー接続の初期段階、つまり保護機構が有効化される前にリモートコード実行を達成できます。
この脆弱性は、RLCプロトコルが非確認応答モードで受信するService Data Units(SDU)パケットを処理する方法を悪用します。プロトコルはオプションのヘッダーフィールドを順次処理し、0xB4バイトのスタックバッファにデータを書き込みます。
SDUパケットは最大0x5F0バイトに達し得るため、90個を超えるヘッダーを含むパケットを細工すれば、スタックオーバーフローを引き起こせます。
決定的なのは、この関数にスタックカナリア保護がない点で、攻撃者はリターンアドレスを上書きして任意のコードを実行できます。
モデムの脆弱性
この脆弱性が特に危険なのは、システム全体の侵害へ至る入口になっていることです。
研究者はモデム上でコードを実行した後、隠されたDirect Memory Access(DMA)デバイスの脆弱性を介してアプリケーションプロセッサへ横展開(ラテラルムーブメント)することに成功しました。
これにより、稼働中のAndroidカーネルにパッチを当て、最高権限でコードを実行できるようになり、事実上、車両のインフォテインメントシステムを完全に制御できるようになりました。
悪用プロセスでは、Return Oriented Programming(ROP)技術を用いてMemory Protection Unit(MPU)の設定を操作し、最終的に通常は保護されているコード領域を書き込み可能にすることが含まれていました。
その後、研究者はNAS(Non-Access Stratum)プロトコルハンドラにパッチを当て、プロトコルコマンドを秘匿通信チャネルとして利用しながら、車両システムとの永続的な双方向通信を確立しました。
影響はダッシュボードにDoomを表示することにとどまりません。システムが完全に侵害されれば、攻撃者は車両制御を操作し、ナビゲーションデータを改ざんし、通信を傍受し、機微なユーザー情報へアクセスできる可能性があります。
これは、ますます接続が進む自動車エコシステムにおいて、道路安全と運転者のプライバシーの双方に対する根本的な脅威を意味します。
この脆弱性は、すでに道路を走っている無数の車両に影響し、とりわけ中国製ヘッドユニットが普及している市場で顕著です。
メーカーは差し迫った課題に直面しています。攻撃者がこれらの手法を現実の攻撃で武器化する前に、配備済みの数百万台の車両に対してファームウェアを修正しなければなりません。
包括的なパッチが展開されるまで、コネクテッドカーの所有者は、悪意あるセルラー信号だけで遠隔から乗っ取られる危険にさらされたままです。
翻訳元: https://gbhackers.com/modem-vulnerabilities/
