マツダ車をUSBメモリ1個でハック。スバル車も脆弱性。
車内エンターテイメントシステム「MZD」を搭載した車が、(必要なファイルを書き込んだ)USBメモリをさしこむだけでハックできることが解析され、お手軽一発スクリプト集もgithub上におかれています。
これは、MZD自体を改造して自分の好きなアプリケーションを入れることなどを目的としたエンスージアスト達の解析結果によります。
MZDはUnix系のシステムを使っており、しかもさしこんだUSBメモリに対してAutoRun的な自動実行機能をもっているために可能なこと。
なお、このハックは車のエンジンが動作している間しか実行できないため、窃盗犯による悪用はしづらくなっています。また、このハックはMZDが対象なので、基本的な車の動作には関連しないはずですが、セキュリティ研究者Aris Adamantiadis氏は「WiFiに接続できれば、DBUSを通じてCANバスにアクセスできてしまう」と述べているのは少し気になるところです。
また、この問題は既にMZD Connectファームウェアの「59.00.502」で対策済みです。対象車種はリンク先へどうぞ。
ちなみに、スバルの車も(スマートフォンからの接続を前提とした)Starlinkサーバに脆弱性があり、ドアロックやクラクションをいじったり、走行履歴などを窃取できるようです(ブレーキやアクセル、ハンドルは操作不可能)。
「スバルの新車に脆弱性、ドアロックが解除可能だった」
こちらは、最初に車の正規の持ち主に対して(リンクをクリックするなどの)操作をさせる必要もあり、危険性は比較的低いと考えられます。また、現状ではほとんどの問題は解決しているとのこと。
問題は、スバルの前年の車種でも似たような脆弱性があり、指摘を受けて修正したこと。新モデル開発チームは、この問題を共有できていなかった可能性があります。