アカウント名:
パスワード:
それ自体が穴になりそうな気がするんですが…。
ちゃんとコードサイニングの仕組みぐらいあるさ(希望的観測)
この証明書の有効期間は2年です
...重量税納付サイニングとか思いついてもた。
IOTが進めば、重量税やら自動車税を滞納した時点でエンジンがかからなくなるとかありそうだね。。
その車種の所有者にバックドア入りファームウエアを入れたUSBメモリを送りつけるとか、どんなにエラーメッセージが出てもそういう作業だから大丈夫だからYesを選び続けろ、と手紙を添えるとか。
さすがにsecure loader/updaterの仕組みはあろうもん
リモート制御可能ということ自体もね。重量物はそれ自体凶器に出来ちゃうからなぁ。。
パソコンやラジコン飛行機と違い単価が高いのでリバース・エンジニアリングは困難。従って言うほど大したことはない
工場が某国だとパーツ単位でも設計漏れたりセキュアにはそこから気を使うってのがなんとも
もしこの脆弱性を放置すれば、インターネット経由で何万台という車を、ブレーキが効かない状態でアクセル全開のまま対向車線やガソリンスタンドなどへツッコませることも夢ではない.
それはまるで米国同時多発テロのような航空機を使ったテロ事件に対して、「ハイジャックは困難。従っていうほど大したことない。」とコメントするがごとし。テロ組織嘗めんなとしか。
乗っ取れるのはCAN回線、それも低速回線だけだと思われるので、アクセル全開は多分に無理です。(アクセルペダルとECUと電制スロットルの通信にはCAN使っていないので、アクセル全開にするには横滑り防止装置に割り込んで信号送るんでしょうが、普通その通信は高速側なのと、閉じるならともかく開く方にはあんまり自由度無いはず。 簡単にできたらごめんなさい。)
ブレーキ効かないのはエンジン止めれば出来ます。 但し、マスターバックに負圧が残っている一発目は普通に止まりますし、負圧無くなっても根性入れて踏めば止まりますけど、普通の人じゃ無理でしょうね。
CAN回線などの通常非公開であるネットワークで任意データ送信されうる状況で他のシステムがどれだけ耐えられるかって考えると余り楽観はできないなぁ…
あと、ハイブリドシステム搭載車もブレーキは最終的に直結されてるんですかね?回生ブレーキと回生率を改竄されたら直結してても効きが悪くなりそうな気がします。# 高級車ほどリスクが上昇するよねこういうの。それと部品共有してれば下位モデルも。# オートクルーズ、追突防止ブレーキ、車線維持ハンドル補助、自動駐車etcetc…割り込まれたなら死ねる。
低速側と高速側はネットワークが物理的に分けられているので、低速側から高速側へ直接何かするってのは、ちょっと考えつかないです。両方につながっている、例えばCANの統合ユニットが乗っ取られたら別ですが、直接車いじらないでそれが出来るようなチップも製品も作るやつはいないよなあ思います。
クルコンのスイッチは多分低速側ですが、クルコンのユニット-ECU間は高速側、追突防止ブレーキやレーンキープアシストも高速側自動駐車もスイッチは低速側で動かすのは高速側でしょうね。大問題なのは確かですが、フィクションみたいなことが起きるようには作られていないはずです。完成車メーカーがボロボロでもシステムメーカーがまともならば。 (中国資本独自の車が出てきたら知らない)
あと、回転数上げるのが無理と書いたのですが、シフトダウン時のブリッピング制御があるので、無負荷で回転上げるのは割と簡単ですね。高速側を乗っ取れるのであれば、勝手に回転上がるってデモはインパクト大きいですから、それやってないってことはやっぱり低速側だけなのだと思います。(但し、TCUなりAT本体が壊れればギアつながったままブリッピングさせようとするってことは起きうるので、それをさせようとするとECU側でフェイルするくらいには作ってあると思います。)
> 直接車いじらないでそれが出来るような既に低速側にまでは侵入できている(好き勝手指令を送れる辺り任意データ送信可能な可能性も十分)のだから、両方につながっているユニットの低速側に任意コード実行脆弱性があればそこから高速側に侵入されますよ。単一の脆弱性で完結しなきゃいけないというルールはありません。複数組み合わせる前提の攻撃も多いです。
> フィクションみたいなことが起きるようには作られていないはず「リモートから低速側を乗っ取れるようには作られていないはず」なのに乗っ取られたのだから、「低速側から高速側を乗っ取れるようには作られていな
逆に単価が高く普及台数も段違いだからこそ、利潤も大きいわけですが…
それはセキュリティとは関係のない指標だ
ドアロックとエンジンをリモートで乗っ取れるなら、車両窃盗に大活躍です。乗っ取りがエンジン稼働中限定でも、その後のエンジンOffをAccモードで偽装とかされたらなかなか分からんだろうし。
なぜわざわざ「所有者が自分で実行できる」穴を作るのか理解に苦しむよね。
リコールなんだし、ディーラーに持ってって「修理」すればいいではないか。費用はどうせメーカー持ちだし。
「ワイパーを動かしたりエンジンを切ったり」ってのは昔から操縦者(≒所有者)が出来る設計なんで穴ではなく仕様でOKじゃね?
ここで言ってるのはUSBメモリを使ったユーザによるファームアップデートのことですよ。
「ワイパーを動かしたりエンジンを切ったり」にファームアップデートが加わると不味い事ってなんでしょう?
わざとやってんのかお前。「ユーザによるファームアップデート機能」は「攻撃者によるファーム改竄機能」として応用される危険があるって話だよ。普通に考えて電子署名とかやってんだろうけど共通鍵使ってれば車を分解その他して鍵を取り出せる可能性があるし、公開鍵暗号であっても鍵長(演算コスト)をケチってればそれなりの時間で署名鍵を解析される可能性がある。あとはソーシャルハック他で標的の車に同乗して、隙を見て改竄ファームでアップデート操作を行う。後日、リモートから制御を奪ってベタアクセルでダンプカーと正面衝突させて完全犯罪成功、とかな。
今回の具体的な方法は分かりませんが、キー(+イモビ的な奴)がなければ更新出来ない仕組みであれば、まあ許容範囲じゃないですか?#+保険で署名とかあれば尚良し程度
確かに、偽造キーで時限式の何かを仕込まれるとか追跡に使われるとかあるかも知れませんが、それはそれ以前に偽造キーある事自体が穴でしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
USBメモリで更新するシステム (スコア:1)
それ自体が穴になりそうな気がするんですが…。
Re:USBメモリで更新するシステム (スコア:1)
ちゃんとコードサイニングの仕組みぐらいあるさ(希望的観測)
Re:USBメモリで更新するシステム (スコア:1)
この証明書の有効期間は2年です
...重量税納付サイニングとか思いついてもた。
Re:USBメモリで更新するシステム (スコア:1)
IOTが進めば、重量税やら自動車税を滞納した時点でエンジンがかからなくなるとかありそうだね。。
Re:USBメモリで更新するシステム (スコア:1)
その車種の所有者にバックドア入りファームウエアを入れたUSBメモリを送りつけるとか、
どんなにエラーメッセージが出てもそういう作業だから大丈夫だからYesを選び続けろ、と手紙を添えるとか。
Re: (スコア:0)
さすがにsecure loader/updaterの仕組みはあろうもん
Re: (スコア:0)
リモート制御可能ということ自体もね。
重量物はそれ自体凶器に出来ちゃうからなぁ。。
Re:USBメモリで更新するシステム (スコア:2)
Re: (スコア:0)
パソコンやラジコン飛行機と違い単価が高いのでリバース・エンジニアリングは困難。従って言うほど大したことはない
Re: (スコア:0)
工場が某国だとパーツ単位でも設計漏れたり
セキュアにはそこから気を使うってのがなんとも
Re: (スコア:0)
もしこの脆弱性を放置すれば、インターネット経由で何万台という車を、ブレーキが効かない状態で
アクセル全開のまま対向車線やガソリンスタンドなどへツッコませることも夢ではない.
それはまるで米国同時多発テロのような航空機を使ったテロ事件に対して、
「ハイジャックは困難。従っていうほど大したことない。」
とコメントするがごとし。テロ組織嘗めんなとしか。
Re:USBメモリで更新するシステム (スコア:2, 興味深い)
乗っ取れるのはCAN回線、それも低速回線だけだと思われるので、アクセル全開は多分に無理です。
(アクセルペダルとECUと電制スロットルの通信にはCAN使っていないので、アクセル全開にするには横滑り防止装置に割り込んで信号送るんでしょうが、普通その通信は高速側なのと、閉じるならともかく開く方にはあんまり自由度無いはず。 簡単にできたらごめんなさい。)
ブレーキ効かないのはエンジン止めれば出来ます。 但し、マスターバックに負圧が残っている一発目は普通に止まりますし、負圧無くなっても根性入れて踏めば止まりますけど、普通の人じゃ無理でしょうね。
Re: (スコア:0)
CAN回線などの通常非公開であるネットワークで任意データ送信されうる状況で
他のシステムがどれだけ耐えられるかって考えると余り楽観はできないなぁ…
あと、ハイブリドシステム搭載車もブレーキは最終的に直結されてるんですかね?
回生ブレーキと回生率を改竄されたら直結してても効きが悪くなりそうな気がします。
# 高級車ほどリスクが上昇するよねこういうの。それと部品共有してれば下位モデルも。
# オートクルーズ、追突防止ブレーキ、車線維持ハンドル補助、自動駐車etcetc…割り込まれたなら死ねる。
Re:USBメモリで更新するシステム (スコア:1)
低速側と高速側はネットワークが物理的に分けられているので、低速側から高速側へ直接何かするってのは、ちょっと考えつかないです。
両方につながっている、例えばCANの統合ユニットが乗っ取られたら別ですが、直接車いじらないでそれが出来るようなチップも製品も作るやつはいないよなあ思います。
クルコンのスイッチは多分低速側ですが、クルコンのユニット-ECU間は高速側、追突防止ブレーキやレーンキープアシストも高速側
自動駐車もスイッチは低速側で動かすのは高速側でしょうね。
大問題なのは確かですが、フィクションみたいなことが起きるようには作られていないはずです。
完成車メーカーがボロボロでもシステムメーカーがまともならば。 (中国資本独自の車が出てきたら知らない)
あと、回転数上げるのが無理と書いたのですが、シフトダウン時のブリッピング制御があるので、無負荷で回転上げるのは割と簡単ですね。
高速側を乗っ取れるのであれば、勝手に回転上がるってデモはインパクト大きいですから、それやってないってことはやっぱり低速側だけなのだと思います。
(但し、TCUなりAT本体が壊れればギアつながったままブリッピングさせようとするってことは起きうるので、それをさせようとするとECU側でフェイルするくらいには作ってあると思います。)
Re: (スコア:0)
> 直接車いじらないでそれが出来るような
既に低速側にまでは侵入できている(好き勝手指令を送れる辺り任意データ送信可能な可能性も十分)のだから、
両方につながっているユニットの低速側に任意コード実行脆弱性があればそこから高速側に侵入されますよ。
単一の脆弱性で完結しなきゃいけないというルールはありません。複数組み合わせる前提の攻撃も多いです。
> フィクションみたいなことが起きるようには作られていないはず
「リモートから低速側を乗っ取れるようには作られていないはず」なのに乗っ取られたのだから、
「低速側から高速側を乗っ取れるようには作られていな
Re: (スコア:0)
逆に単価が高く普及台数も段違いだからこそ、利潤も大きいわけですが…
Re: (スコア:0)
それはセキュリティとは関係のない指標だ
Re: (スコア:0)
ドアロックとエンジンをリモートで乗っ取れるなら、車両窃盗に大活躍です。
乗っ取りがエンジン稼働中限定でも、その後のエンジンOffをAccモードで偽装とかされたらなかなか分からんだろうし。
Re: (スコア:0)
なぜわざわざ「所有者が自分で実行できる」穴を作るのか理解に苦しむよね。
リコールなんだし、ディーラーに持ってって「修理」すればいいではないか。
費用はどうせメーカー持ちだし。
Re: (スコア:0)
「ワイパーを動かしたりエンジンを切ったり」ってのは昔から操縦者(≒所有者)が出来る設計なんで穴ではなく仕様でOKじゃね?
Re: (スコア:0)
ここで言ってるのはUSBメモリを使ったユーザによるファームアップデートのことですよ。
Re: (スコア:0)
「ワイパーを動かしたりエンジンを切ったり」にファームアップデートが加わると不味い事ってなんでしょう?
Re: (スコア:0)
わざとやってんのかお前。
「ユーザによるファームアップデート機能」は「攻撃者によるファーム改竄機能」として応用される危険があるって話だよ。
普通に考えて電子署名とかやってんだろうけど共通鍵使ってれば車を分解その他して鍵を取り出せる可能性があるし、
公開鍵暗号であっても鍵長(演算コスト)をケチってればそれなりの時間で署名鍵を解析される可能性がある。
あとはソーシャルハック他で標的の車に同乗して、隙を見て改竄ファームでアップデート操作を行う。
後日、リモートから制御を奪ってベタアクセルでダンプカーと正面衝突させて完全犯罪成功、とかな。
Re: (スコア:0)
今回の具体的な方法は分かりませんが、キー(+イモビ的な奴)がなければ更新出来ない仕組みであれば、まあ許容範囲じゃないですか?
#+保険で署名とかあれば尚良し程度
確かに、偽造キーで時限式の何かを仕込まれるとか追跡に使われるとかあるかも知れませんが、それはそれ以前に偽造キーある事自体が穴でしょう。