パスワードを忘れた? アカウント作成
16344509 story
バグ

車体識別番号さえわかれば自動車のリモート操作が可能になる脆弱性 19

ストーリー by nagazou
複雑 部門より
headless 曰く、

Sirius XM の自動車リモート管理システムで、車体識別番号 (VIN) だけわかればさまざまなリモート操作が可能になる脆弱性が発見されていたそうだ (HackRead の記事Sam Curry 氏のツイート)。

発見者の Sam Curry 氏は異なるメーカーの自動車に影響する複数の脆弱性を調査しているうち、いずれも Sirius XM が供給するシステムであることを確認。Sirius XM のリモート管理システムは数多くの自動車メーカーが採用しているが、影響が確認されたのはホンダ (アキュラ含む) と日産 (インフィニティ含む) の製品のみ。これらの車両では HTTP リクエストの「customerId」パラメーターで実際の顧客 ID の代わりに VIN を使用できること、これにより顧客の名前や電話番号、住所などの取得やリモート操作コマンドの実行が可能であることが判明したという。

ドアのロック解除やエンジンの始動が可能なキーレスシステムの脆弱性複数の車種たびたび発見されているが、今回の脆弱性では加えて現在地の確認やクラクションを鳴らす、ライトを点滅させるといった操作も可能だったそうだ。Curry 氏は Sirius XM へ事前に問題を報告しており、既に修正されているとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 電気自動車「リーフ」の専用アプリに脆弱性、他人の車が遠隔操作可能に
    https://security.srad.jp/story/16/02/26/0843224/ [security.srad.jp]

  • by Anonymous Coward on 2022年12月08日 18時26分 (#4377513)

    事故らせるとかできそうですね。攻殻機動隊の世界かな?

    • by Anonymous Coward

      エンジン始動までは現状でできるのか。ならあとはアクセルを踏み込む操作がリモートで可能なら…。
      #事故るだけならハンドル操作とかは不要

      • by Anonymous Coward

        アクセルとかブレーキペダルはまだバイワイヤなんだっけ
        無人自動タクシーとかを実現するにはそのへんの解決がいりそう
        衝突安全ブレーキがあるので踏み込むという動作は不要になりそうではあるが

        • いまどきはアクセルも電子スロットル、ブレーキも自動ブレーキ用にアクチュエータ入ってる、ステアリングもだいたい電動パワステだし中にはステアバイワイヤの車種まで出てきてるので、ハードウェア的な無人自動運転への問題は解決済みでーす

          #別コメにもあるけど、電子制御スロットルのことは確かにドライブバイワイヤって言うけど、ケーブルを引っ張るスロットルのことはワイヤースロットルっていうんだよな

          親コメント
          • 転用元である航空機の「フライバイワイヤ」については、
            メカニカルな制御の方の線は「ケーブル」なので混乱しないみたいですね。

            元々ワイヤーって言葉を使ってるところに、航空機からの用語を転用したのが混乱の原因でしょうか。
            まあ、そのうち光ファイバーの「バイライト」が主流になってくれば、混乱はなくなる?
            FlexRayはRayって名前のくせに電線だけど…

            親コメント
        • by Anonymous Coward on 2022年12月08日 19時09分 (#4377547)

          「バイワイヤ」ってーのは「(電線で)電気信号で動かす」ってのが本来の意味なんだけど、「(ワイヤーケーブルで)引っ張って動かす」のを揶揄って言ってることもあるから、要注意。

          親コメント
          • by Anonymous Coward

            引っ張るのは「バイ・ケーブル」ではないかと思ったが、あまり使われていないようだ。

          • by Anonymous Coward

            私も、バイワイヤと聞くと電気信号をイメージします。

            本来の意味と全く別の使い方をされると混乱します。

        • by Anonymous Coward

          いらんよ
          コマンド署名必須化される前のトヨタ車ならスマホを繋げば簡単に自動運転化できる
          ただしした所でまともに運転操作や判断ができるソフトというのがない

          他ドメインでのChatGPTやStableDiffusionのように「一見それっぽいハンドルさばき」をする物ならある
          あるいはWaymoやCruiseのようにルールベース判断と画像認識で市電のように走る物はある
          後者は市電としてはかなりいい所まで来てるが個人向けに全自動運転として市販できる製品はまだない

          半自動でそれっぽい操作や何となくの車線推定をしたり、車線変更で運転するような物ならある
          日産プロパイロットやComma.ai、評判は悪いがテスラNoAなどはそれ

        • by Anonymous Coward

          ブレーキは油圧だな。

          • by Anonymous Coward

            ペダルと油圧シリンダの間に、レバーとかケーブルとかスプリングとか挟まってますけどね。
            エンジン車の場合は吸入負圧を利用した倍力装置まである。EVの場合はこれが電動アクチュエータを使ったパワーアシスト装置になるから、クラッキングの余地はあるかな。

      • by Anonymous Coward

        最近の車のサイドブレーキは電気式でボタンをポチっとするだけだというけど、
        車の制御がきかない場合を考慮するとここだけでも手動レバー式がいいな

    • by Anonymous Coward

      ホントに脆弱性?ほんとぉ?

    • by Anonymous Coward

      ヨルムンガンドで、街中でヘックスに襲われたヨナたちを逃がすために、アールがブラックに頼んで監視カメラと近くの高級車のドアとエンジンをハッキングしたシーンを思い出した。

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...