車のハッキングの次のフロンティア| ダグ・ニューコーム

文書化されたインシデントは1つしかありませんが（5年前の社内業務）、最近では車のハッキングが多くの見出しを出しました。

最近の車のハッキングは犯罪者ではなく、ITセキュリティ研究者によって行われました。彼らはここ数週間でジープの重要なコントロールにアクセスし、高速道路を転がり落ちる方法を示しました。このハッキング行為により、自動車メーカーのコネクテッドカーへの取り組みが脚光を浴び、選挙で選ばれた役人や訴訟の標的になりました。

現在、OBD-IIドングルとしても知られる、車両のオンボード診断ポートIIに接続するアフターマーケットのコネクテッドカーデバイスに注目が集まっています。 デバイスは数年前から存在しており、1996年以降に製造された車両の所有者にODB-IIポートを使用して接続を追加できます。 大手自動車保険会社から、運転スタイルや燃費の監視から運転中のティーンエイジャーの追跡に至るまで、数十社の新興企業に至るまで、さまざまな企業が提供しています。

コルベットのブレーキを切る

今週のセキュリティ会議に先立ち、カリフォルニア大学サンディエゴ校（UCSD）の研究者は、後期モデルのコルベットに差し込まれたOBD-IIドングルにワイヤレスでハッキングする方法を明らかにしました。 彼らはSMSメッセージをデバイスに送信し、デバイスは車のフロントガラスのワイパーをオンにし、ブレーキを切りました。 研究者は、ブレーキのハッキングは車両の設計方法のために低速でしか実行できないことに注意したが、彼らは攻撃がステアリングやトランスミッションなどの重要なコンポーネントを引き継ぐためにほとんどすべての現代の車両に容易に適応できると付け加えた。

「私たちはこれらのいくつかを取得し、リバースエンジニアリングしましたが、途中でセキュリティの欠陥がたくさんあることがわかりました」と、プロジェクトを率いたUCSDコンピューターセキュリティ教授のStefan Savage氏は語っています。 ドングルは「リモートで接続するための複数の方法を提供します…接続された車両上のあらゆるものを制御します」と彼は付け加えました。

ハッキングされたOBD-IIドングルは、フランスの会社Mobile Devicesによって作成されましたが、サンフランシスコに拠点を置く自動車保険のスタートアップであるMetromileによって配布されます。駆動されます。

UCSDの研究者は6月にMetromileにドングルの脆弱性を警告し、同社はセキュリティパッチをデバイスに無線で送信したと同社は述べました。 「私たちはすぐにこれを非常に深刻に受け止めました」と、メトロマイルCEOのダンプレストンは Wiredに 語りました。

それでも、Metromileがセキュリティパッチを送信した後でも、主にスペインの艦隊管理会社Coordinaによって使用されていたため、何千ものドングルが見えてまだハッキング可能でした。 親会社のTomTom Telematicsからの声明の中で、コーディナは研究者の攻撃を調査し、会社が使用しているドングルの古いバージョンにのみ適用されることを発見したと述べました。 現在、これらのデバイスの「限られた数」の交換が進行中です。

同社はまた、デバイスのSIMカードに割り当てられた電話番号は公開されておらず、UCSDの研究者による攻撃のように、テキストメッセージを介して連絡することはできないと述べました。 しかし、研究者たちは、SIMカードの電話番号を知らなくても、ドングルは大量のテキストメッセージを送信することでブルートフォース攻撃を受けやすいと反論しました。

最近の量産車のハッキングは、リモートでの実行や車両への物理的アクセスに数か月かかりましたが、クラウドに接続されたOBD-IIドングルのセキュリティ脆弱性は数か月間知られており、ハッキングがはるかに簡単であるように思われます。 また、問題はモバイルデバイス製品に限定されません。 1月、セキュリティ研究者のCorey ThuenはProgressiveのスナップショットデバイスをハッキングできましたが、サイバーセキュリティ会社Argusの研究者はZubie OBD-IIデバイスのセキュリティ欠陥を発見しました。

研究者たちは、ハッキングの可能性はテストで使用したコルベットに限定されず、モバイルデバイスドングルをダッシュ​​ボードに差し込んだ現代のほぼすべての車両のステアリングまたはブレーキをハイジャックできる可能性があると指摘しました。 「脆弱なのはこの車だけではない」とUCSDの研究者カール・コッシャーは述べた。

自動車メーカーのコネクテッドカーと同様に、OBD-IIドングルを搭載した車両の悪意のあるハッキングはまだ文書化されていません。 しかし、研究者たちはこの脅威は本物であると信じており、量産車の接続性とは異なり、アフターマーケットデバイスに対する政府の監視がないことに注意しています。

「市場にはすでに存在するこれらの多くがあります」とサベージは付け加えました。 「完全なリモートエクスプロイトが確認されており、これらのことはいかなる形でも規制されておらず、その使用が拡大していることを考えれば…他の場所に問題があるという公正な評価だと思います。」

「車に差し込むものについてもう一度考えてみてください」とKoscherは警告しました。 「通常の消費者が自分のデバイスが信頼できるかどうかを知るのは難しいですが、ちょっと考えてみるべきです。これは私をより多くのリスクにさらしていますか？」

これは、コネクテッドコンシューマーが長年求めてきた質問であり、OBD-IIドングルを介して自分の車をクラウドに接続したいドライバーも同様に尋ねる必要があります。