スバルのセキュリティ脆弱性により、数百万台の車両が遠隔で追跡、解錠、エンジン始動が可能になりました。1年間分の位置履歴が利用可能で、その精度は5メートル以内でした…

セキュリティ研究者のサム・カリーは母親と珍しい取引を交わした。ハッキングを許してくれるならスバル車を買ってあげるというのだ。

彼はMySubaruモバイルアプリの欠陥を探すことから始めましたが、何も見つかりませんでした。しかし、彼はそこで止まりませんでした。

過去の自動車会社での経験から、従業員向けのアプリケーションは顧客向けアプリよりも権限が広く、公開されている可能性があると認識していました。そこで、焦点を移し、スバル関連の他のウェブサイトをテスト対象として探し始めました。

友人の助けを借りて、良さそうなサブドメインを見つけました。もちろん従業員ログインが必要でしたが、JavaScriptディレクトリを少し調べてみたところ、安全でないパスワードリセットコードが見つかりました。あとは有効な従業員メールアドレスがあれば十分で、簡単なウェブ検索で見つけることができました。パスワードをリセットすると、ログインできました。

残る唯一の障壁は2要素認証でしたが、これはクライアント側で実行され、ローカルで削除できるため、簡単に突破できることが判明しました。この時点で、彼らは侵入に成功しました。

左のナビゲーションバーには様々な機能がありましたが、一番面白そうに思えたのは「最後の位置情報」でした。早速、母の名字と郵便番号を入力してみると、検索結果に母の車が表示されました。クリックすると、母が昨年旅行した場所がすべて表示されました。

彼らは、Starlink がインストールされたどのスバル車でも遠隔操作できるようで、友人の車をターゲットにして許可を得てこれをテストした。

彼女はナンバープレートを送ってくれたので、管理パネルで彼女の車を検索し、ようやく彼女の車に自分の情報を追加しました。数分待つと、アカウントが正常に作成されたことが確認できました。

アクセスできたので、外を覗いて車に何か起きていないか確認させてくれないかと頼みました。「unlock（ロック解除）」コマンドを送ると、この動画が送られてきました。

彼らは車を制御できただけでなく、車の所有者は自分のアカウントに承認されたユーザーが追加されたというメッセージさえ受け取っていませんでした。

カリー氏はスバルに報告書を送り、同社は翌日までに問題を修正し、他者がアクセスした形跡がないことも確認した。

おそらく、この話の中で最も心配な部分は、カリーの結論である。それは、セキュリティ業界の他の人々がこれに驚くとは思えなかったため、記事を書くことさえ困難だった、というものだ。

このブログの読者のほとんどは既にセキュリティ関連の仕事に就いているので、パスワードリセットや2FAバイパスの手法自体は誰にとっても目新しいものではないと思います。私が共有する価値があると思ったのは、このバグ自体の影響と、コネクテッドカーシステムが実際にどのように機能するかという点です。

自動車業界は、テキサス州の18歳の従業員がカリフォルニア州の車両の請求情報を照会しても、特に警戒されることはないという点で独特です。これは彼らの日常業務の一部です。従業員全員が大量の個人情報にアクセスでき、すべては信頼の上に成り立っています。

このような広範なアクセスがデフォルトでシステムに組み込まれている場合、これらのシステムを実際に保護することは非常に困難であると思われます。

写真: スバル。GIF画像提供: Sam Curry。

bowtor.com を Google ニュース フィードに追加します。