スポンサーリンク
自動車用アラームの欠陥で300万台の車がカージャックの危機に
IT起業ニュース一般的に使われている2種類の自動車用アラームシステムが、セキュリティの脆弱性を修正した。それらのシステムの以前の状態では、研究者が車両を遠隔操作で追跡し、乗っ取って、その車をコントロールすることができた。
英国のサイバーセキュリティ会社のPen Test Partnersの研究者によると、ロシアのアラームメーカーのPandoraと、米国カリフォルニアに拠点を置くViper(英国でのブランド名はClifford)によって開発されたシステムは、簡単なサーバー側のAPIの操作に脆さを露呈した。米国時間の3月8日に投稿されたところによれば、APIを悪用して、アラームシステムのユーザーアカウントと、その車両の制御を獲得することができたという。
その脆弱なアラームシステムのAPIは、リクエストが正当なものであるかどうかを確認することを怠るため、そのアカウントのパスワードをリセットするよう騙すことができ、研究者がログインできた。
研究者はテストのためにアラームを購入したが、「だれでも」本物のアカウントにアクセスするためのユーザーアカウントを作成したり、その会社のすべてのユーザーデータを引き出すことができる状態だったという。
研究者によると、全世界でおよそ300万台の車がこの欠陥の影響を受ける状態にあったはずとのこと。
このハッキングの実証実験では、研究者はターゲット車両の地理的位置を特定し、
コメント