チャーリー・ミラー氏とクリス・ヴァラセク氏が、チャーリー氏のジープへのハッキング方法について講演した後、恐喝目的で化学工場をハッキングしたという講演や、DMCA条項1201に対するコリー・ドクトロウ氏の優れた熱のこもった長文の批判など、まったく異なる話題についても、すべての講演者が彼らに敬意を表したようだ。
サミー・カムカー氏も、主に車やガレージへの無線攻撃に関する講演で、チャーリーとクリスを称賛しました。講演の冒頭で、カムカー氏はかつてSamy MySpaceワームの作者としていたずら好きだったことをほのめかし、二度と自分の名前でワームをリリースしないと冗談を飛ばしました。また、明日は子供向けフォーラム「r00tz Asylum」で、どんなダイヤル錠でも30秒以内に解錠できる「Combo Breaker」について講演する予定だと話しました。講演のまとめのスライドでは、カムカー氏は他にも独創的なハッキングを手がけていることを明かしました。例えば、「Ding Dong Ditch」(友人のBluetoothドアベルを乗っ取る)や、ドローンから別のドローンを操作するといったものです。
サミー氏は、キーフォブを起点とする現代の自動車ハイジャックの最新手法について説明した。窃盗犯は、キーなしで車を始動させるために必要な短距離(5~10フィート)内にいない人物のキーフォブの近くに密かに持ち込んだ増幅器を使用する。改良版では、共犯者が受信増幅器を持ち、最初の増幅器と直接通信する。これにより、通信距離ははるかに長くなり、数百メートルにも及ぶ可能性がある。
ガレージドール
彼が次に説明した一連の攻撃は、ガレージドアオープナーへの無線攻撃に関するものでした。彼はこれらの攻撃を、キーフォブの解錠にも同様のメカニズムで拡張しました。彼は、マテル社の古い子供用玩具「IM-me」をベースにしたガレージオープナーツールキットをリリースしました。このツールキットを使うと、固定コードのガレージドアを数秒で開けることができます。現在市販されているほとんどのガレージドアオープナーは、この攻撃には耐性のあるローリングコードまたはホッピングコードを使用していることに注意してください。ただし、非常に古いガレージドアは、この攻撃に対して脆弱である可能性があります。
Samy氏は、このハッキングに至った思考プロセスと実験プロセスについて説明しました。この攻撃は既に他の者によって実行されていますが、Samy氏の攻撃はより迅速で、おそらくより洗練されています。ガレージのリモコンを見れば、デバイスの周波数と種類に関する情報がわかるかもしれません。彼はFCC IDをGoogleで検索し、デバイスの説明を導き出しました。
次に彼は、オスマンのHack RFOne(「めちゃくちゃイカした」)約340ドルのソフトウェア無線(SDR)を使って、理解しようとしていた信号を捕捉した。周波数範囲は1GHzから6GHzまで。その後、ソフトウェアを使ってエンコード方式(暗号化されていなかった)を解読し、複数の重複コードを同時に試して本物の信号を模倣したという。
最後の部分は簡単でした。彼はTravis GoodspeedのGoodFetでよく使われる手法を使って、これをIM-meにプログラムしました。IM-meはお気に入りのチップであるTI CC1110を搭載しており、サミーは大笑いしながら、彼の好きな色であるピンク色をしていました。その結果、IM-meは人気が高まり、eBayでは以前ほど安く(20~30ドル)出回らなくなりました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
60秒で消えた
次の攻撃はより巧妙で、車のキーフォブやガレージドアオープナーで使われるローリングコードにも有効です。ローリングコードは、攻撃者が信号を録音して再生するリプレイ攻撃を防ぎます。サミーはその信号を妨害しましたが、より狭く、より細かく調整されたノッチフィルターを備えたはるかに高性能な無線機で盗聴し、自身の妨害を回避しました。つまり、攻撃者は妨害し、盗聴し、再生するのです。しかし、受信機が次のコードを検知すると、コードはすぐに無効化されます。そこで、TI CC1110を2個搭載したサミーのデバイスは、さらに一歩進んで、信号を2回妨害し、最初のコードを再生し、2番目のコードを後で使用または再生できるように保存します。
このパターンは、毎回の試みで繰り返される可能性があります。テストでは、ほとんどの車、一部のガレージ、そして警報装置がKeeloqまたは類似のシステムを使用していたため、脆弱でした。RollJamと呼ばれるこの装置は、車の下に隠してあります。何も知らない被害者は、車に入るのになぜ2回キーを押す必要があるのかを知らずに車に向かいます。しばらくして、攻撃者は装置を再試行し、車内のものを持ち去ります。強制侵入の痕跡は残っていません。
Samy氏がこの攻撃を公開した目的は(彼のウェブサイトではまだ説明されていないが)、メーカーに対しセキュリティを考慮する必要があることを示すことだ。この種の脆弱性は過去にも報告されており、現在もアンダーグラウンドで使用されている。RollJamは、期限切れの短いコードを使用することで破られる可能性がある。最新のキーチップの中には、そのような機能が組み込まれているものもある。
オンスター
サミー氏が説明した、一般紙でも取り上げられた攻撃は、ハッキングの観点から見ると、3つの中で最も興味をそそられるものではないかもしれません。OnStarを調べたところ、個人情報が中継され、漏洩する可能性があることに気づきました。特に、設計上、その情報の一部はOnStarのGUIを通じて彼の携帯電話のアカウントにアクセスできるようになっていたためです。
一つの問題は、RemoteLinkログインがBase64エンコードのみで行われていたこと、そしてもう一つの問題は、彼の携帯電話の証明書が有効かどうかを確認する機能がなかったことです。中間者攻撃を仕掛ければ、彼はすべてのトラフィックを見ることができるでしょう。中間者攻撃とは、正当なエンドステーションになりすます手法であり、送信者は受信者が実際には攻撃者であることを全く知りません。
サミーは誰かの車の下に無線カードとラズベリーパイを組み込んだ装置を設置し、その人が過去に接続したネットワークを確認してその情報を記録し、それからその人の情報にアクセスできるようになる。
GMの功績として、この脆弱性は問題の報告を受けてほぼ即座に、つまり1~2日以内に修正されました。これはまさに驚異的です。しかし、Samyは面白い逸話として、GMへの電話をセキュリティに詳しい担当者にエスカレーションしようとした経緯を語ってくれました。どうやらその作業には2週間ほどかかったようです。
Samy 氏によると、メーカーが次の対策を講じれば、この種の脆弱性は将来的に排除される可能性があります。
- CA(証明機関)からの検証済みの証明書、または証明書ピンニングを使用 - 認証要求時にランダムソルトを使用してパスワードをハッシュ化(チャレンジレスポンス) - エンジニアは、このような消費者向けデバイスは常に敵対的なネットワーク上にあると常に想定する必要があります。
Facebook および Google+ で @tomshardware をフォローしてください。
