VW系列のSkodaの車両/メディアユニットにセキュリティ脆弱性が…

VW傘下;チェコのSkodaの売れ筋セダンでの車内メディアユニットにおけるセキュリティ脆弱性が指摘されています。
会社は既に対応したとしますが、対応車数は150万台以上ともされており内容も個人情報の不正入手が可能となる状況でした。
SDVにはセキュリティ問題がつきものですが、久々の大型案件です。

Skoda security flaws could let hackers remotely track cars

https://cybersecuritynews.com/vulnerabilities-skoda-volkswagen-cars/

1;VW/Skoda車両のセキュリティ脆弱性

　12/13に自動車業界に特化したサイバーセキュリティ企業;PCAutomotiveはSkoda車両のセキュリティ脆弱性を発表。[Black Hat Europe]で表明、Superb-3の最新モデルに関して12件の新しいセキュリティ脆弱性があるとのこと。昨年には同モデルで9件の脆弱性を指摘していた。
　車両のメディアユニット(MIB3 Infotainment-Unit)に纏わる脆弱性で、攻撃者は無制限のコード実行/ユニット起動毎の悪意コード実行が可能に。攻撃者は[移動中の車両GPS座標/速度データの入手][車載マイクでの会話録音][ディスプレイ投影動画の把握][車内でサウンドを勝手に再生]できる可能性がある
　メディアユニットはVW/Skodaで使用され、最大140万台に影響。アフターマーケットを勘案するとさらに増加する可能性も

2;関係者コメント

(PCAutomotiveのセキュリティ評価責任者;Danila Parnishchev氏)
　車載NWゲートウェイ経由でハンドル/ブレーキ/アクセルなどの安全上重要な機能にアクセスは出来なかったが、メディアユニットは相当に脆弱として以下のように語る
　[この脆弱性は連鎖してハッカーが車両にマルウェアを入れ込む入り口で、認証なし/10ｍ以内/Bluetooth経由で車両のメディアユニットに接続することで実行できる]
　[車両所有者が車両と連絡先同期を有効にしている場合、攻撃者はその連絡先DBを盗み出すことすら可能となる]

(Skodaの広報担当役員;Tom Drechsler氏)
　VWサイドでは脆弱性が報告された後、修正アプデを実行したとのこと
　[インフォテインメントシステムの脆弱性は製品ライフサイクルを通じて継続的な改善管理を通じて対処/排除されており、顧客/車両の安全に対する危険はもう無い]

3;Skodaとは

　SkodaはVWグループのチェコ子会社で国内自動車生産1位の製造事業者。1895年に自転車メーカー;Laurin&Klementとして創業、当初は[Slavia]ブランドで自転車を生産し補助エンジン付き自転車も発売。1899年にオートバイを、1901年には初の自動車[Laurin&Klement]を製造した
　冷戦後の民営化の中で1991年にＶＷグループ4番目のブランド[SkodaーAuto]として民営化、VWの技術/デザインを用いて近代化を推進して今に至る
　現在はインド/ロシア/中国に製造拠点を持ち、ウクライナ/カザフスタンに組立工場を保有する