headless 曰く、

Sirius XM の自動車リモート管理システムで、車体識別番号 (VIN) だけわかればさまざまなリモート操作が可能になる脆弱性が発見されていたそうだ (HackRead の記事、 Sam Curry 氏のツイート)。

発見者の Sam Curry 氏は異なるメーカーの自動車に影響する複数の脆弱性を調査しているうち、いずれも Sirius XM が供給するシステムであることを確認。Sirius XM のリモート管理システムは数多くの自動車メーカーが採用しているが、影響が確認されたのはホンダ (アキュラ含む) と日産 (インフィニティ含む) の製品のみ。これらの車両では HTTP リクエストの「customerId」パラメーターで実際の顧客 ID の代わりに VIN を使用できること、これにより顧客の名前や電話番号、住所などの取得やリモート操作コマンドの実行が可能であることが判明したという。

ドアのロック解除やエンジンの始動が可能なキーレスシステムの脆弱性は複数の車種でたびたび発見されているが、今回の脆弱性では加えて現在地の確認やクラクションを鳴らす、ライトを点滅させるといった操作も可能だったそうだ。Curry 氏は Sirius XM へ事前に問題を報告しており、既に修正されているとのことだ。