あと 100日9時間43分39秒
起亜 ナンバープレートから自動車のエンジンを始動できる脆弱性、発見
▼ページ最下部
Malwarebytesは9月27日(米国時間)、「Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes」において、起亜(KIA)が2013年以降に製造したほぼすべての自動車に脆弱性が存在したと報じた。この脆弱性を悪用されると、自動車の主要な機能を遠隔操作される可能性がある。
この脆弱性はセキュリティ研究者のSam Curry氏によって発見された。脆弱性の詳細はSam Curry氏のWebページ「Hacking Kia: Remotely Controlling Cars With Just a License Plate」にて公開されている。
脆弱性は自動車自体ではなく、ディーラー専用サイト「kiaconnect.kdealer[.]com」に存在した。研究者は簡単なHTTPリクエストを介して新規ディーラーとして自身を登録し、Webサイトへのログインに成功している。
ログインに成功すると、車両識別番号(VIN: Vehicle Identification Number)を使用して車両情報の検索が可能になる。この検索から所有者の氏名、電話番号、メールアドレスが取得できるという。
研究者はディーラー専用サイトのAPI(Application Programming Interface)の調査から、本来の所有者を降格して研究者を主要な所有者として登録することに成功している。その結果、攻撃者は2013年以降に製造された標的車両にコマンドを送信できるようになる。
なお、車両情報の検索、所有者の降格、所有者の追加など、一連の操作は元の所有者に通知されることはない。攻撃者は標的車両の車両識別番号を入手するだけで、所有者に気づかれることなくエンジン始動やロック解除などの操作ができる。
https://news.livedoor.com/article/detail/27288773...
この脆弱性はセキュリティ研究者のSam Curry氏によって発見された。脆弱性の詳細はSam Curry氏のWebページ「Hacking Kia: Remotely Controlling Cars With Just a License Plate」にて公開されている。
脆弱性は自動車自体ではなく、ディーラー専用サイト「kiaconnect.kdealer[.]com」に存在した。研究者は簡単なHTTPリクエストを介して新規ディーラーとして自身を登録し、Webサイトへのログインに成功している。
ログインに成功すると、車両識別番号(VIN: Vehicle Identification Number)を使用して車両情報の検索が可能になる。この検索から所有者の氏名、電話番号、メールアドレスが取得できるという。
研究者はディーラー専用サイトのAPI(Application Programming Interface)の調査から、本来の所有者を降格して研究者を主要な所有者として登録することに成功している。その結果、攻撃者は2013年以降に製造された標的車両にコマンドを送信できるようになる。
なお、車両情報の検索、所有者の降格、所有者の追加など、一連の操作は元の所有者に通知されることはない。攻撃者は標的車両の車両識別番号を入手するだけで、所有者に気づかれることなくエンジン始動やロック解除などの操作ができる。
https://news.livedoor.com/article/detail/27288773...
▲ページ最上部
ログサイズ:2 KB 有効レス数:3 削除レス数:0
不適切な書き込みやモラルに反する投稿を見つけた時は、書き込み右の マークをクリックしてサイト運営者までご連絡をお願いします。確認しだい削除いたします。
ニュース東亜掲示板に戻る 全部 次100 最新50
スレッドタイトル:起亜 ナンバープレートから自動車のエンジンを始動できる脆弱性、発見