ホンダ・シビックに任意のコードを実行可能な脆弱性「EvilValet」が見つかる

ホンダ車は、オーディオシステムやナビを内蔵した車載のヘッドユニットをUSB経由でアップデートすることが可能です。しかし、ここに任意のコードを実行可能な脆弱性があることを、技術専門家のエリック・マクドナルド氏が指摘しています。

Honda Civics and the Evil Valet | Juniperspring
https://juniperspring.org/posts/honda-evil-valet/

自動車に用いられている技術のうち一部のインターフェイスは標準化されており、排ガス規制などに関わる部分は文書化された技術要件が存在しますが、その他の大部分はブラックボックス化されています。

マクドナルド氏は「車重1トン超、最大時速200kmのシビックに乗るにあたって、ホンダが『自社のソフトウェアは安全で、私のプライバシーを尊重していて、安全は確保されている』というなら、それを受け入れるしかない」と述べ、自動車のソフトウェア開発とセキュリティについての洞察を得るためにヘッドユニットのリバースエンジニアリングを試みたことを明かしています。2023年に公開したリバースエンジニアリングの成果には、驚くほどの反響があったとのこと。

Honda Civic Reverse Engineering | Juniperspring
https://juniperspring.org/posts/honda-reverse-engineering/

今回の報告は、その続報にあたるものです。

ホンダのヘッドユニットはUSB経由のアップデートをサポートしていて、独自のチェック項目がいくつかあったのち、USBドライブに格納された署名済みAOSPアップデートファイルが、Androidリカバリを介してステージングされて適用される仕組みになっています。

マクドナルド氏によると、AOSPのテストキーが残されていて、バイナリを変更しても署名ロジックが標準のAOSPと一致するため、USBドライブを適切にフォーマットして公知のテストキーで署名すれば、rootアクセスなしでヘッドユニットに好きなものをインストール可能になっているとのこと。

つまり、ヘッドユニットに電源が供給され、攻撃者がUSBポートにアクセスできる環境であれば、アップデート用経路を利用して、ヘッドユニット上で任意のコードが実行可能であるというわけです。

マクドナルド氏はこの脆弱性を用いた攻撃手法として「ホテルで係員に車を預けると、USB経由でアップデートをインストールされ、返却時には気付かないうちにヘッドユニットが改変されている」という事例を挙げ、攻撃方法を「邪悪な係員(evil valet)攻撃」、脆弱性を「EvilValet」と名付けています。なお、EvilValetを悪用するにはUSBポートへの物理的なアクセスが必要であり、リモートでの利用は不可能なので、危険性はそこまで高くないとみられます。

なお、マクドナルド氏らはこのチェック機能をもとに、誰でもアップデートファイルを生成できるツール「ota-builder」を作成・公開しています。

ic1101/ota-builder at main · librick/ic1101 · GitHub
https://github.com/librick/ic1101/tree/main/ota-builder