車体識別番号わかればリモート操作可能になる脆弱性 Sirius XMのシステムで

2022年12月9日 09:31

印刷

記事提供元:スラド

headless 曰く、 Sirius XM の自動車リモート管理システムで、車体識別番号 (VIN) だけわかればさまざまなリモート操作が可能になる脆弱性が発見されていたそうだ(HackRead の記事Sam Curry 氏のツイート)。

発見者の Sam Curry 氏は異なるメーカーの自動車に影響する複数の脆弱性を調査しているうち、いずれも Sirius XM が供給するシステムであることを確認。Sirius XM のリモート管理システムは数多くの自動車メーカーが採用しているが、影響が確認されたのはホンダ (アキュラ含む) と日産 (インフィニティ含む) の製品のみ。これらの車両では HTTP リクエストの「customerId」パラメーターで実際の顧客 ID の代わりに VIN を使用できること、これにより顧客の名前や電話番号、住所などの取得やリモート操作コマンドの実行が可能であることが判明したという。

ドアのロック解除やエンジンの始動が可能なキーレスシステムの脆弱性複数の車種たびたび発見されているが、今回の脆弱性では加えて現在地の確認やクラクションを鳴らす、ライトを点滅させるといった操作も可能だったそうだ。Curry 氏は Sirius XM へ事前に問題を報告しており、既に修正されているとのことだ。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | 交通

 関連ストーリー:
ホンダ車のリモートキーレスエントリーシステムに脆弱性が発見される 2022年07月15日
ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性 2022年03月28日
24車種にキーレスエントリーの脆弱性があることが判明。電波増幅するシステムを悪用 2016年03月26日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事