中国テンセント最新報告から(上)
2020年5月18日 2:00 [有料会員限定記事]
日経クロステック
中国ネット大手の騰訊控股(テンセント)のセキュリティー研究チームが、トヨタ自動車の高級ブランド、レクサスの多目的スポーツ車(SUV)「NX300」のハッキングに成功した。近距離無線経由で、ボディー関連部品を遠隔操作できるものだ。トヨタは車載基本ソフト(OS)「Linux(リナックス)」の管理者権限を奪われるなど、かなり厳しい脆弱性を突かれた。セキュリティー開発に力を注ぐトヨタだが、一朝一夕に技術
アプリで開く
この記事は会員限定です
電子版に登録すると続きをお読みいただけます
残り4580文字
https://r.nikkei.com/article/DGXMZO58983430S0A510C2000000?s=5
前スレ
【速報】中国テンセント社、レクサスNXのハッキングに成功 OSの管理者権限を奪い遠隔操作 [スタス★]
http://asahi.5ch.net/test/read.cgi/newsplus/1589795415/
許可なくやったら犯罪では?
なんて罪? それが犯罪なら脆弱性の研究なんかできなくなるけど
これはトヨタが許可をした脆弱性の研究なのか?
これ、単純に国際規格で作ってる診断メッセージを
汎用のツールから投げて、偶々動いたのぐらいか?
それで大騒ぎしてるだけのような。
そんなの最近のドアロックをオートにしたり、
ウインドウ上げ下げとか市販製品でやってるでしょ。
ステアリングやアクセル操作出来たら、
流石に言うでから、出来なかったんだな。
不正アクセス禁止法違反
日本国内でやったら犯罪かもだが
中国に持ってきたレクサスを中国でハッキングテストした場合は?
ならんよ
購入したトヨタ車をどう触ろうとどこの国の法にも触れない
メルセデスはレクサスブランド販売を始めた時からレクサスを分解研究してる
中国は自動運転AI作成の為に日本の小さな市レベルの土地に仮の建築物まで建設しエキストラ千人規模を雇って開発している
んでこれは自動運転の時代が来たらレクサス乗ると危ないよって嫌がらせも含めてる
こらすげぇな内部のプログラムとかも取り出されてんじゃね?
ちゃんとセキュリティホールを教えてくれてるんだ。
セキュリティホールは無い方が良いが、あったらすぐに修正を繰り返すしかない
今回の管理者権限の奪取は大きな事だけど・・・
後、トヨタ以外にも何処の企業でもありえることだよ
管理者アカウントが車内に無ければ、管理者権限を奪われないのだろうか
ダメじゃん
最近やってた事故の裁判も負けるんじゃね
テンセントは1つの脆弱性と3つの弱点をNX300で発見して、ボディー系部品の遠隔操作に成功した。音楽再生やカーナビ閲覧の「Nユニット」に1つの脆弱性と2つの弱点、ボディーECUに残る1つの弱点がある。
ステップ1::Bluetooth経由でLinuxの「root権限」奪う
ステップ2::メイン基板に「バックドア」仕込む。DCU起動時にOSのデジタル署名を確認する「セキュアブート」の機能がなかったためだ。
ステップ3::CANの「ホワイトリスト」を無効に。マイコン基板側のファームウエアにはデジタル署名などのセキュリティー機能がなく、root権限を奪っていたメイン基板側から、インターフェース「UART」を通じてマイコン基板のファームウエアを更新できた
ステップ4::故障診断メッセージをボディーECUに送信。DCUを攻略し、最終的な攻撃対象はボディーECU。同ECUに弱点(認証なしで診断メッセージを実行できること)を見つけた。
今流行のレ点商法ですなwww
間抜け。
オープンでないOSなんてあっという間だ。
ただ、バレないだけ。
企業も役人も、いまだにハンコとFAX使ってるばかり
IT強者は、日本だと安月給でこき使われるから、海外へ逃げてるよ
車はアナログがサイコ-