Bleeping Computerは12月1日(米国時間)、「Hyundai app bugs allowed hackers to remotely unlock, start cars」において、Hyundaiのモバイルアプリに脆弱性があることを伝えた。この脆弱性により、2012年以降のHyundaiおよびGenesisの車種がリモート攻撃を受け、車両のロック解除や始動が可能だったことが明らかとなった。

  • Hyundai app bugs allowed hackers to remotely unlock、start cars

    Hyundai app bugs allowed hackers to remotely unlock, start cars

「MyHyundai」と「MyGenesis」と名付けられたHyundaiおよびGenesisのモバイルアプリには、認証されたユーザーに対して車両のスタート、ストップ、ロック、アンロックする機能が提供されている。この2つのアプリから生成されるトラフィックを傍受して分析した結果、POSTリクエストのJSONボディに含まれるユーザーのメールアドレスに基づいて、所有者の検証が行われていることがわかった。

MyHyundaiが登録時に電子メールの確認を要求していないことも発見されている。そのため、末尾に制御文字を追加したターゲットの電子メールアドレスを用いて、新たなアカウントを作成することができたという。さらにJSONトークンに偽装されたアドレス、JSONボディに被害者のアドレスを含むHTTPリクエストをHyundaiのエンドポイントに送信することで、有効性チェックの回避に成功したと述べられている。

このアクセスが車への攻撃に利用できるか調査が行われ、Hyundaiの車のロックを解除しようとしたところ、数秒後に車のロックが解除できたことが確認されている。この多段階攻撃は最終的にカスタムPythonスクリプトに組み込まれ、攻撃にはターゲットのメールアドレスだけが必要だったと報告されている。

SiriusXMのサービスである「SiriusXM Connected Vehicle Services」の調査も行われ、リモートからロック解除、スタート、位置特定、フラッシュ、クラクションの実行が行えたことも報告されている。このサービスは15以上の自動車メーカーに採用されている車両テレマティクスサービスプロバイダーで、統一されたプラットフォームで50以上のサービスを実行する1200万台のコネクテッドカーが運用されているという。

Acura、BMW、Honda、Hyundai、Infiniti、Jaguar、Land Rover、Lexus、Nissan、Subaru、ToyotaのモバイルアプリがSiriusXMのテクノロジーを使ってリモート車両管理機能を実装していることが明らかにされている。Nissanのアプリのネットワークトラフィックを検査したところ、車両識別番号を知っているだけでエンドポイントに偽造したHTTPリクエストを送信することが可能であることも判明している。

不正なリクエストに対するレスポンスには、ターゲットの名前、電話番号、住所、車両の詳細などの情報が含まれており、車両に対するアクションを実行するコマンドも含まれていたという。

HyundaiのモバイルアプリおよびSiriusXMのサービスの調査を行ったセキュリティ研究者は、詳細を発表する前に両社に欠陥と関連するリスクについて報告しており、問題は修正されていると伝えられている。