テスラ向けソフトに車の機能をハック可能な脆弱性が存在
テスラの車両向けに提供されているサードパーティ製ソフトウェアの中に、車の一部機能を外部から乗っ取ることが可能な脆弱(ぜいじゃく)性が存在することをセキュリティ専門家が指摘しています。問題はテスラのシステムやインフラではなく、車のオーナー側にあるとのことです。
So, I now have full remote control of over 20 Tesla’s in 10 countries and there seems to be no way to find the owners and report it to them…— David Colombo (@david_colombo_) January 10, 2022
Third-Party Software for Teslas Can Be Hacked, German Teen Says - Bloomberg
ドイツのセキュリティ専門家、デヴィッド・コロンボ氏はこの脆弱性を利用することで、13カ国以上で合計25台以上のテスラ車両の機能にアクセス可能なことを確認したとのこと。
具体的には、車両の見張りを行うセントリーモードの解除や、ドア・窓の開閉、キーレス運転の始動、カーオーディオシステムの操作などができるそうです。
Nevertheless I now can remotely run commands on 25+ Tesla‘s in 13 countries without the owners knowledge.
Regarding what I‘m able to do with these Tesla‘s now.
This includes disabling Sentry Mode, opening the doors/windows and even starting Keyless Driving.
[2/X]— David Colombo (@david_colombo_) January 11, 2022
運転中の車両のアクセルやブレーキ、ステアリングの操作はできないので「フルリモートコントロールではない」とのことですが、高速道路の走行中にいきなりボリューム全開でリックロールされたり、ドアを開けられたり、ヘッドライトを連続点滅されたりすると周囲にも危険が及ぶことになります。
この件についてはテスラのセキュリティチームも調査を開始済み。
Addition as of 11. Jan 22:33 (CET)
Tesla‘s Security Team just confirmed to me they’re investigating and will get back to me with updates as soon as they have them.
[8/8]— David Colombo (@david_colombo_) January 11, 2022
また、セキュリティ問題に与えられる「CVE(共通脆弱性識別子)」を設定しているアメリカのNPO・MITREにより、CVE番号の割り当て予約も行われたとのこと。
The MITRE CVE Assignment Team reserved a CVE for it.
????
[9/9]— David Colombo (@david_colombo_) January 11, 2022
コロンボ氏によると、当該ソフトウェアのメーカーがまだ修正プログラムを公開していないため、ニュースサイトのBloombergに対して詳細は公表しないように求めたとのことです。
