パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2016年6月9日のセキュリティ記事一覧(全2件)
12807255 story
交通

三菱自動車のアウトランダーPHEVでリモートコントロール機能にセキュリティ上の問題 10

ストーリー by hylom
IoTが普及するとこういう問題も増えそう 部門より
headless 曰く、

三菱自動車のハイブリッド車、アウトランダーPHEVのリモートコントロール機能で見つかったセキュリティ上の深刻な問題が公表されている(Pen Test Partnersのブログ記事BBC NewsRegister)。

モバイルアプリによるリモートコントロール機能を備える自動車の多くはモバイル通信モジュールを搭載し、Webサービスを経由して操作を実行する。一方、アウトランダーPHEVは無線LANアクセスポイントを搭載しており、スマートフォンと直接接続して操作を行う仕組みになっている。無線LAN接続方式は通信費やWebホスティングの費用がかからず、開発費用も抑えられるが、アウトランダーPHEVの場合はセキュリティ面があまり考慮されていないのだという。

アウトランダーPHEVでは、無線LANアクセスポイントのSSIDとパスワードがキーレスオペレーションキーに添付された登録情報カードに記載されている。SSIDの変更は可能だが、パスワードを変更することはできないそうだ。問題を発見したPen Test Partnersによれば、パスワードは単純で非常に短いため、GPUを使ったクラックツールを用いて4日以内で解読に成功したという。

SSIDは「REMOTEnnaaaa」(nは数字、aは小文字の英字)となっており、WiGLEのような無線ネットワークマップを利用すれば場所を簡単に特定できる。モバイルデバイスの認証はアクセスポイントへの接続だけで完了し、あとはメッセージを送信して操作を実行可能となる。操作はライトやエアコンのオン/オフ、充電時刻の変更といったもののほか、盗難防止アラームの無効化も可能だったとのこと。

Pen Test Partnersによれば、この問題に対する短期的な対応としては、すべてのモバイルデバイスの登録を解除することだ。これにより、Wi-Fiモジュールはオフになり、キーレスオペレーションキーのLockとUnlockを交互に10回押さなければオンにならない。ただし、モバイルアプリからのリモートコントロール機能は利用できなくなる。中期的な対応としては無線LANモジュールのファームウェア更新、長期的な対応としては無線LAN方式をやめることが提案されている。

当初、Pen Test Partnersから問題を報告された三菱自動車は、あまり興味を示さなかったが、BBCに連絡して報道してもらったところ、問題を深刻に受け止めるようになったという。現在、三菱自動車では上述の中期的な対応を準備しているとのことで、オーナーには短期的な対応の適用を勧めているとのことだ。

12807369 story
アナウンス

AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 29

ストーリー by hylom
これだからメーカー製PCは 部門より
caret曰く、

セキュリティ企業Duo Securityの研究部門Duo Labsが5月31日、PCにプリインストールされているソフトウェアに関する調査書「Out-of-Box Exploitation: A Security Analysis of OEM Updaters」を発表した(Duo Labsの投稿ITmediaZDNet JapanマイナビニュースGIGAZINE)。

この調査書では、Acer、ASUS、Dell、HP、Lenovo製のPCにプリインストールされているソフトウェアに深刻な脆弱性が存在することが指摘されている。これを受け、Lenovoはセキュリティアドバイザリで「Lenovo Accelerator Application」をアンインストールするようアナウンスした(レノボ セキュリティ アドバイザリZDNet JapanITmediaマイナビニュース)。

また、Acerは脆弱性が指摘された「Acer Care Center」の問題を解決するアップデートを配信した(日本エイサー株式会社のお知らせ)。

DELLは「現時点において当社の顧客がこの問題の影響を受けることはない」という旨の声明を発表している(デル株式会社の声明)。Duo Labsが報告する前に、脆弱性を解決するアップデートをリリースしていたためだという。

ASUSは脆弱性を認めたが、まだ修正が完了していないもようだ。HPは、すでに脆弱性を修正しているとのこと。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...