攻撃者がアプリの弱点を悪用すれば、車を盗むだけでなく、システムを改ざんして事故を起こさせることも可能だと警告している。
「つながるクルマ」の遠隔操作に使われるモバイルアプリには、攻撃に対する防御の仕組みが欠落していて、マルウェアに悪用されかねない無防備な状態にある――。セキュリティ企業Kaspersky Labが主要メーカーのアプリについて、そんな検証結果を発表した。
Kasperskyの2月16日のブログによると、同社は大手メーカーの人気車種のドアロック解除やエンジン始動といった操作に使われるAndroidアプリ7種類について、マルウェアに感染させて乗っ取る手口に対する防御の仕組みが実装されているかどうかを検証した。
まず、アプリのリバースエンジニアリングを防ぐための難読化について調べたところ、7種類とも難読化は施されておらず、攻撃者がアプリのコードを読み取って脆弱性を発見できてしまう可能性があることが分かった。
ユーザー名とパスワードの暗号化については、ユーザー名もパスワードも暗号化していないアプリが2種類あった。
画面上にフィッシング詐欺画面などを表示してユーザーをだます手口を防ぐためのオーバーレイ対策や、rootパーミッション検出、コードの改ざんをチェックするインテグリティチェックといったセキュリティ機能についても、7種類とも実装されていないことが分かったとしている。
この検証結果を踏まえてKasperskyでは、「残念ながら、全てのアプリが攻撃に対して脆弱であることが分かった」と結論付け、こうした弱点を攻撃者が悪用すれば、車を盗むだけでなく、システムを改ざんして事故を起こさせることも可能だと警告している。
メーカーがつながるクルマのセキュリティを考える際は、ユーザーの端末にインストールされるアプリにも気を配る必要があると同社は述べ、「現時点では車のアプリはいとも簡単に悪用できてしまい、そうしたクライアントサイドが最大の弱点になりかねない」と指摘。今のところそうした攻撃は発生していないものの、車のアプリを悪用するマルウェアは明日にでも出現するかもしれないと警鐘を鳴らしている。
今回検証を行ったメーカーの社名は公表を控えているが、各社には検証結果を通知したという。
Copyright © ITmedia, Inc. All Rights Reserved.