ukycircleLog

セキュリティ,ガジェット,ポケモン etc...といった内容をテキトーに投稿するブログ※このサイトはGoogle Analyticsを利用しています

#3【英語記事和訳】Vulnerabilities Expose Lexus, Toyota Cars to Hacker Attacks

和訳はDeepL を使うことにしました.

その方がより多くの記事に目を通せるからです. 

 

  • 概要

日付: 2020-3-30

2017年モデルのレクサスNX300に搭載されているAVN システムにリモートから攻撃を仕掛けられるような脆弱性が存在することが明らかになった.

脆弱性は,悪意のあるCANメッセージを送信することにより,車に「物理的なアクション」を行わせることができる.※技術的な詳細が公開されるのは来年の見込み

 

中国の研究者が実際にリモートコードの実行を実現した.
悪意のあるコードは,システム上にとどまり,自動的に車両をWi-Fiに接続させ,シェルを生成し,任意のCANメッセージを送信可能にさせる.
脆弱性を悪用するには,マルチメディアシステムのソフトウェアの専門知識だけでなく,特殊なツール及び攻撃時の車両への接近が必要になる.
そのため,本脆弱性が悪用される状況が発生する可能性は限られていると,トヨタ社は述べている.
脆弱性の対策は,生産ラインで実施しており,影響のある車にはソフトウェアアップデートが用意されている.

 

  • 和訳

レクサスやトヨタ車の脆弱性ハッカーに悪用され、影響を受けた車両に対する遠隔攻撃を仕掛けられる可能性があることが、中国に拠点を置くテンセント・キーン・セキュリティ・ラボの研究者によって明らかになった。

 

2017年モデルのレクサスNX300に搭載されているAVN(Audio, Visual and Navigation)システム--同システムはLSシリーズやESシリーズなど他のモデルにも採用されている--を調査したところ、同車に搭載されているBluetoothや車両診断機能にセキュリティ上の問題があることが明らかになった。

Keen Security Labによると、これらの欠陥を悪用してAVNや内部のCANネットワーク、関連する電子制御ユニット(ECU)を侵害する可能性があるという。

さらに、研究者によると、ユーザーの操作なしにワイヤレスでAVNユニットを制御し、悪意のあるCANメッセージを注入して車に "物理的なアクション "を行わせることができたという。

ただし、これらの脆弱性に関連する具体的な技術的な詳細が公開されるのは来年になってからだという。

レクサスAVNは、DCU(Display Control Unit)とMEU(Multimedia Extension Unit for maps)で構成されており、DCUのメインボードはWi-FiBluetooth、USBインターフェースなどの攻撃面を露出させている。また、DCUはCANメッセージを介して内部ECUと通信します。

中国の研究者は、2つの脆弱性を利用して車載Bluetoothサービスを標的とし、root権限でDCUシステム内のリモートコード実行を実現しました。

この問題には、アウトオブバウンドのヒープメモリの読み込みとヒープバッファのオーバーフローが含まれており、どちらもペアリング前のBluetooth接続の作成プロセスに存在しています。Keen Security Labは、これらのバグのために、Bluetoothの悪用は「至近距離では絶対にタッチレスで、相互作用もない」と説明しています。

DCUシステムが以前に携帯電話とペアリングしたことがある場合、影響を受けた車のBluetooth MACアドレスは、よく知られている「Ubertooth One」デバイスを使って空中で嗅ぎ取ることができます。

DCUシステムはセキュアブートをサポートしていないため、研究者は悪意のあるファームウェアでuCOMボードを再フラッシュすることができました。そして、これを利用して、既存のCANメッセージフィルタリング機構を迂回させました。

"Bluetoothと車載診断機能に存在する知見を連鎖させることで、Bluetoothの無線接続から自動車のCANネットワークに至るまで、リモートでタッチレスな攻撃チェーンを実装することが可能になります。

悪意のあるコードは、DCUのBluetoothサービスを介して展開することができ、それは永久にシステム上に常駐します。このコードは、DCUを自動的にWi-Fiホットスポットに接続させ、インタラクティブなルートシェルを生成し、攻撃者が任意のCANメッセージをワイヤレスでCANバスに送信することを可能にします。

"さらに、診断用CANメッセージを利用することで、CANネットワーク内の一部の自動車ECUが騙されて診断機能を実行したり、予期せぬ物理的な動きで車をトリガーしたりする可能性があります」とKeen Security Labは結論づけています。

これらの脆弱性の存在を認めているトヨタは、"特定のマルチメディアユニット "を使用しているため、一部のトヨタ車にも影響があるとしている。

"Keen Labが説明した脆弱性の発見と悪用のプロセスでは、ステアリング、ブレーキ、スロットルの制御はできない "と自動車メーカーは述べている。

トヨタによれば、これらのバグを悪用するには、マルチメディアシステムのソフトウェアの専門知識だけでなく、特殊なツールや攻撃時の車両への接近が必要になるという。

"このように、キーンラボが開発した方法でこれらの脆弱性を悪用することは非常に高度であり、現実世界でこの状態が発生する可能性は限られているとトヨタは考えている "と自動車メーカーは述べている。

同社では、生産ラインでの脆弱性への対策を実施しており、影響を受けた市販車にはソフトウェアのアップデートを用意しているという。

 

  • 原文

Vulnerabilities in Lexus and Toyota cars could be exploited by hackers to launch remote attacks against affected vehicles, researchers at China-based Tencent Keen Security Lab discovered.

 

Research into the AVN (Audio, Visual and Navigation) system in the 2017 Lexus NX300 — the same system is also used in other models, including LS and ES series — has revealed security issues with the Bluetooth and vehicular diagnosis functions on the car.

According to Keen Security Lab, these flaws could be abused to compromise the AVN and internal CAN network and related electronic control units (ECUs).

Furthermore, the researchers said they were able to wirelessly take control of the AVN unit without user interaction, then inject malicious CAN messages to cause the car to perform “physical actions.”

However, the specific technical details related to these vulnerabilities will be disclosed only next year, the researchers say.

The Lexus AVN consists of the DCU (Display Control Unit) and MEU (Multimedia Extension Unit for maps), with the main board of the DCU exposing attack surfaces such as Wi-Fi, Bluetooth and USB interfaces. The DCU also communicates with the internal ECUs via CAN messages.

The Chinese researchers leveraged two vulnerabilities to target the in-vehicle Bluetooth service and achieve remote code execution in the DCU system with root privileges.

The issues include an out-of-bound heap memory read and a heap buffer overflow, both residing in the process of creating Bluetooth connections before pairing. Because of these bugs, Bluetooth exploitation is “absolutely touch-less and interaction-less at close proximity,” Keen Security Lab explains.

The Bluetooth MAC address of an affected car can be sniffed over the air using the well-known “Ubertooth One” device, if the DCU system has been paired with mobile phones before.

The DCU system does not support secure boot, which allowed the researchers to re-flash the uCOM board with malicious firmware. They then leveraged this to bypass an existing CAN message filtering mechanism.

“By chaining the findings existed in Bluetooth and on-board diagnostic functions, a remote, touch-less attack chain from Bluetooth wireless connectivity down into automotive CAN network is feasible to be implemented,” the security researchers say.

Malicious code can be deployed through the Bluetooth service on the DCU and it will permanently reside on the system. The code can make the DCU automatically connect to a Wi-Fi hotspot and spawn an interactive root shell, which then allows an attacker to wirelessly send arbitrary CAN messages to the CAN bus.

“Furthermore, by leveraging the diagnostic CAN messages, some automotive ECUs inside CAN network would be tricked into executing diagnostic functions and triggering the car with unexpected physical motions,” Keen Security Lab concludes.

Toyota, which has acknowledged the existence of these vulnerabilities, says that some Toyota vehicles are impacted as well, due to the use of “particular multimedia units.”

“The vulnerability findings and exploit process, as described by Keen Lab, do not control steering, braking, or throttle,” the car maker says.

Exploitation of these bugs, Toyota says, requires not only expertise of the multimedia system software, but also a special tool and close proximity to a vehicle during the attack.

“Thus, Toyota believes that exploiting these vulnerabilities in the manner developed by Keen Lab is extremely sophisticated, and the likelihood of this condition to occur in the real world is limited,” the vehicle maker says.

The company has implemented measures to address the vulnerabilities on the production line and says that a software update is available for the affected in-market vehicles.

 

  • 所感/メモ

レクサスの重めの脆弱性が明らかとなった.リモートでコード実行が可能で,車両の物理的な操作だったり,システムにとどまって車両を自動的にWi-Fi に接続させてリモートで 任意のメッセージを送信できたりする脆弱性であり,悪用された場合は車両を攻撃者にいつでも・自由自在に,コントロールされてしまう可能性がある.

回避策としてソフトウェアアップデートがあるのは幸いなこと.また,悪用には専門的な知識とツール,物理的な接触が必要になるためそこらの人が簡単に脆弱性を悪用できないが,高度な知識を持った人がある特定の人物を狙った悪用の仕方(いわゆる標的型攻撃)に利用される可能性は十分であるのでは,と感じた.(技術的な詳細や実オペレーションをしたわけではないので,あくまで本記事を斜め読みした感想)

 

自分は診断系の仕事はしたことないし,車両についてもCAN を聞いたことがあるくらいなので,今後少しづつ知識を深めていきたい.

 

  • 出典

 https://www.securityweek.com/vulnerabilities-expose-lexus-toyota-cars-hacker-attacks?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29