SecurityWeekは5月3日(米国時間)、「Tesla Car Hacked Remotely From Drone via Zero-Click Exploit|SecurityWeek.Com」において、Tesla S、Tesla 3、Tesla X、Tesla Yモデルにインフォテインメントシステムを完全制御できる脆弱性が存在していたと伝えた。この脆弱性を突かれると、通常のユーザーがインフォテイメントシステムから実行できるすべての操作を行えるという。脆弱性は2020年10月のアップデートで修正済み。
この脆弱性はKunnamonおよびComsecurisの研究者らが「Pwn2Own 2020」ハッキングコンテスト向けに取り組んでいたもの。取り組みの内容はTeslaのインフォテインメントシステムが使っていたConnManに存在する2つの脆弱性を突いてサイバー攻撃を行い、最終的にインフォテインメントシステムの完全制御を実現するというもの。
研究者らはドローンを使ってWi-Fi経由でサイバー攻撃を仕掛け、駐車しているTeslaの自動車のドアを100メートル離れた場所から開ける方法を説明したという。インフォテインメントシステムからはドアを開ける操作のほか、シートポジションの変更、音楽の再生、エアコンの制御、ステアリングモードの変更、アクセスモードの変更などが可能とされている。
このサイバー攻撃はConnManに存在する脆弱性を悪用しているが、ConnManコンポーネントは自動車業界で広く使われていることから、他のメーカーの自動車に対しても同様の攻撃ができる可能性があると指摘されている。研究者らは影響を受ける可能性のあるメーカーに対して当局に協力を仰いだとのことだ。この研究は今年の初めに開催されたCanSecWestカンファレンスで発表されており、実際にサイバー攻撃を仕掛けるようすを示した動画も公開されている。
