セキュリティ研究者は、一部のシュコダ車で使用されているインフォテインメント ユニットに複数の脆弱性を発見しました。この脆弱性により、悪意のある攻撃者が遠隔から特定の制御をトリガーし、リアルタイムで車の位置を追跡できる可能性があります。自動車分野を専門とするサイバーセキュリティ企業のPCオートモーティブは、今週開催されたBlack Hat Europeカンファレンスで、シュコダのスーパーブIIIセダンの最新モデルに影響を及ぼす12件の新たなセキュリティ脆弱性を発表した。同グループは前年、同じ車両モデルに影響を与える他の9件の脆弱性を発表した。シュコダは、ドイツの自動車大手フォルクスワーゲンが所有する自動車ブランドです。
PCオートモーティブのセキュリティ評価ディレクター、ダニラ・パルニシェフ氏は、ハッカーがこれらの脆弱性をつなぎ合わせて悪用し、自動車にマルウェアを注入する可能性があると述べた。この脆弱性を悪用するには、攻撃者がBluetooth経由でSkoda Superb IIIのメディアユニットに接続する必要があるが、「攻撃は10メートルの範囲内で実行可能であり、認証は必要ない」と同氏は述べた。
この脆弱性は車の MIB3 インフォテインメント ユニットで発見され、攻撃者が無制限のコードを実行し、ユニットが起動されるたびに悪意のあるコードを実行する可能性があります。 PCAutomotive によると、これにより、攻撃者はリアルタイムの車両 GPS 座標と速度データを取得し、車両のマイクを介して会話を録音し、インフォテインメント ディスプレイのスクリーンショットを撮り、車両内で任意のサウンドを再生することが可能になる可能性があります。
PCAutomotive は Superb III でこれらの欠陥を検証しましたが、所有者が車との連絡先の同期を有効にしている場合、攻撃者が所有者の携帯電話の連絡先データベースを盗む可能性もあります。
「通常、携帯電話は暗号化されているため、連絡先データベースを簡単に抽出することはできません。また、インフォテイメント機器の連絡先データベースは通常、平文で保存されます」とパルニシェフ氏は述べた。
パルニシェフ氏は、ステアリングホイール、ブレーキ、アクセルなどの安全性が重要な自動車制御装置へのアクセスに対する車載ネットワークゲートウェイの制限を回避する方法がまだ見つかっていないことを指摘した。
PCオートモーティブは、脆弱なMIB3ユニットがフォルクスワーゲンとシュコダの複数のモデルに使用されており、公開販売データに基づくと脆弱な車両の数が140万台を超える可能性があると推定していると述べた、木曜日に発表されたリサーチノートに先立ってこのレポートを共有した。
アフターマーケットを考慮すると、脆弱な車両の数はさらに多くなる可能性があります。 「eBayで部品番号を検索すれば見つかるでしょう」と彼は説明した。 「前のユーザーが削除しなかった場合、連絡先データベースはまだ存在します。」
フォルクスワーゲンは、同社のサイバーセキュリティ開示プログラムを通じて脆弱性が報告された後、パッチを適用しました。
シュコダの広報担当トム・ドレクスラー氏は電子メールでの声明で、「報告されたインフォテインメントシステムの脆弱性は、製品ライフサイクルの継続的な改善管理を通じてこれまで、そして現在も対処され、排除されている。顧客や車両の安全に対するいかなる脅威も存在しなかった」と述べた。