Mercedes-Benz logo

ほぼ 20 の自動車メーカーとサービスに API セキュリティの脆弱性が含まれており、ハッカーが自動車のロック解除、始動、追跡から顧客の個人情報の漏洩に至るまで、悪意のある活動を実行できる可能性がありました。

セキュリティ上の欠陥は、BMW、ロールロイス、メルセデスベンツ、フェラーリ、ポルシェ、ジャガー、ランドローバー、フォード、KIA、ホンダ、インフィニティ、日産、アキュラ、ヒュンダイ、トヨタ、ジェネシスなどの有名ブランドに影響を与えました。

この脆弱性は、自動車技術ブランドの Spireon と Reviver、およびストリーミング サービスの SiriusXM にも影響を与えました。

これらの API の欠陥の発見は、 2022 年 11 月に Hyundai、Genesis、Honda、Acura、Nissan、Infinity、および SiriusXM のセキュリティ問題を以前に開示した Sam Curry が率いる研究者チームによってもたらされました。

Curry の以前の開示では、ハッカーがこれらの欠陥を利用して車のロックを解除し、エンジンを始動する方法を説明していましたが、これらの問題が報告されてから 90 日間の脆弱性開示期間が経過したため、チームは API の脆弱性に関するより詳細なブログ投稿を公開しました。

影響を受けるベンダーは、このレポートに示されているすべての問題を修正したため、現在は悪用できません。

内部ポータルへのアクセス

最も深刻な API の欠陥は、攻撃者が内部システムにアクセスできるようにする全社的な SSO (シングル サインオン) の脆弱性の影響を受けた BMW とメルセデス ベンツで発見されました。

Mercedes-Benz の場合、アナリストは、複数のプライベート GitHub インスタンス、Mattermost の内部チャット チャネル、サーバー、Jenkins および AWS インスタンス、顧客の車に接続する XENTRY システムなどにアクセスできました。

メルセデスベンツ社内ポータル
メルセデスベンツ社内ポータル
ソース: サム・カリー

BMW の場合、研究者は社内のディーラー ポータルにアクセスし、任意の車の VIN を照会し、所有者の機密情報を含む販売ドキュメントを取得できました。

さらに、SSO の欠陥を利用して、任意の従業員またはディーラーとしてログインし、内部使用のために予約されたアプリケーションにアクセスする可能性があります。

BMW ポータルで車両の詳細にアクセスする
BMW ポータルで車両の詳細にアクセスする
ソース: サム・カリー

所有者の詳細を公開する

他の API の欠陥を悪用して、研究者は KIA、ホンダ、インフィニティ、日産、アキュラ、メルセデスベンツ、ヒュンダイ、ジェネシス、BMW、ロールロイス、フェラーリ、フォード、ポルシェ、およびトヨタの車の所有者の PII (個人を特定できる情報) にアクセスできました。 .

超高価な車の場合、データには販売情報、物理的な場所、顧客の住所が含まれる場合があるため、所有者情報を開示することは特に危険です。

Ferrari は、CMS に十分に実装されていない SSO に悩まされ、バックエンド API ルートを公開し、JavaScript スニペットから資格情報を抽出することを可能にしました。

攻撃者はこれらの欠陥を悪用して、フェラーリの顧客アカウントにアクセス、変更、または削除したり、自分の車のプロファイルを管理したり、自分自身を車の所有者として設定したりする可能性があります。

フェラーリのユーザーデータの詳細を開示する
フェラーリのユーザーデータの詳細を開示する
ソース: サム・カリー

追跡車両の GPS

これらの脆弱性により、ハッカーがリアルタイムで車を追跡できるようになり、潜在的な物理的リスクが発生し、何百万人もの車の所有者のプライバシーに影響を与える可能性がありました.

影響を受けたブランドの 1 つであるポルシェは、テレマティック システムに欠陥があり、攻撃者が車両の位置を取得してコマンドを送信できるようになっていました。

GPS 追跡ソリューションの Spireon は、車の位置情報漏えいに対しても脆弱であり、そのサービスを使用する 1,550 万台の車に影響を与え、さらにリモート管理パネルへの完全な管理アクセスを可能にし、攻撃者が車のロックを解除したり、エンジンを始動したり、スターターを無効にしたりできるようにしました。

Spireon パネルの過去の GPS データ
Spireon 管理パネルの過去の GPS データ
ソース: サム・カリー

影響を受けた 3 番目のエンティティは、Reviver です。Reviver はデジタル ナンバー プレート メーカーで、認証されていない管理パネルへのリモート アクセスに対して脆弱であり、GPS データやユーザー レコードへのアクセス、ナンバー プレート メッセージの変更機能などを誰にでも与えることができた可能性があります。

Curry 氏は、これらの欠陥により、リバイバー パネルで車両を「STOLEN」とマークすることができた様子を説明しています。これにより、事故について警察に自動的に通知され、所有者/ドライバーが不必要な危険にさらされることになります。

Reviver プレートをリモートで変更する
Reviver プレートをリモートで変更する
ソース: サム・カリー

露出を最小限に抑える

車の所有者は、車やモバイル コンパニオン アプリに保存される個人情報の量を制限することで、この種の脆弱性から身を守ることができます。

また、車内テレマティクスを利用可能な最もプライベートなモードに設定し、プライバシー ポリシーを読んでデータがどのように使用されているかを理解することも不可欠です。

サム・カリーはまた、所有者が車を購入する際に従うべき次のアドバイスを共有しました。

「中古車を購入するときは、前の所有者のアカウントが削除されていることを確認してください。強力なパスワードを使用し、可能であれば、あなたの車にリンクするアプリやサービスに対して 2FA (2 要素認証) を設定してください」とカリー氏は声明で警告しました。 .