車体識別番号わかればリモート操作可能になる脆弱性 Sirius XMのシステムで

2022年12月9日 09:31

headless 曰く、 Sirius XM の自動車リモート管理システムで、車体識別番号 (VIN) だけわかればさまざまなリモート操作が可能になる脆弱性が発見されていたそうだ(HackRead の記事Sam Curry 氏のツイート)。

発見者の Sam Curry 氏は異なるメーカーの自動車に影響する複数の脆弱性を調査しているうち、いずれも Sirius XM が供給するシステムであることを確認。Sirius XM のリモート管理システムは数多くの自動車メーカーが採用しているが、影響が確認されたのはホンダ (アキュラ含む) と日産 (インフィニティ含む) の製品のみ。これらの車両では HTTP リクエストの「customerId」パラメーターで実際の顧客 ID の代わりに VIN を使用できること、これにより顧客の名前や電話番号、住所などの取得やリモート操作コマンドの実行が可能であることが判明したという。

ドアのロック解除やエンジンの始動が可能なキーレスシステムの脆弱性複数の車種たびたび発見されているが、今回の脆弱性では加えて現在地の確認やクラクションを鳴らす、ライトを点滅させるといった操作も可能だったそうだ。Curry 氏は Sirius XM へ事前に問題を報告しており、既に修正されているとのことだ。

関連記事

最新記事