起亜自動車の車に「ナンバープレートの情報だけで車両を遠隔操作できる脆弱性」が存在していた

起亜自動車の自動車に「ナンバープレートの番号や記号を入手するだけで遠隔操作できる脆弱(ぜいじゃく)性」が存在していたことが明らかになりました。発見された脆弱性を悪用すると「ロックを解除する」「クラクションを鳴らす」「位置情報を表示する」「オーナーの名前・住所・メールアドレスなどを取得する」といった操作が可能になるとのことです。

Hacking Kia: Remotely Controlling Cars With Just a License Plate
https://samcurry.net/hacking-kia

問題の脆弱性を発見したのは、セキュリティ専門家のネイコ・リベラ氏やサム・カリー氏らの研究チームです。研究チームは、「起亜自動車の新車購入者向け車両登録ページ」を足掛かりに分析を進め、「攻撃対象車両のナンバープレートの情報を入力するだけで、ディーラー用のAPIを用いて攻撃対象車両を遠隔操作できる」という脆弱性が存在することを発見しました。

研究チームは脆弱性の実証用に「KIAtool」と名付けたツールを作成。ツールに攻撃対象車両のナンバープレートの情報を入力すると、各種操作が可能となります。

スマートフォンでKIAtoolを使って自動車を遠隔操作する様子は、以下のムービーで確認できます。

Kiatool Demo - YouTube

KIAtoolにナンバープレートの情報を入力。

30秒ほど待つと、遠隔操作が可能となります。また、「Fetch Owner」をタップしてオーナーの「名前」「住所」「メールアドレス」「電話番号」などを表示することもできます。

KIAtoolの車両操作画面はこんな感じ。「ロック」「ロック解除」「クラクションを鳴らす」「位置情報を確認」などのボタンが並んでいます。

動画内では、実際にロックを解除する様子が記録されています。

位置情報の取得も可能。

クラクションを鳴らすこともできます。

研究チームは脆弱性を起亜自動車に報告しており、すでに脆弱性は修正されたとのこと。しかし、研究チームは「MetaがFacebookのコードに変更を加えた際にアカウントの乗っ取りが可能になるのと同様に、自動車メーカーがソフトウェアのアップデートを配信すれば新たな脆弱性が発生する」と指摘し、今後も同様の脆弱性が表れる可能性を警告しています。