JVNVU#93910224
Mobile Devices 製 C4 OBD2 ドングルに複数の脆弱性

Mobile Devices 製 C4 OBD2 ドングルには、複数の脆弱性が存在します。また、他社ブランド向けのデバイスにも複数の脆弱性が存在する可能性があります。

• Mobile Devices 製 C4 OBD2 ドングル
• Mobile Devices 製 C4 OBD2 をベースとして、他社ブランド向けに提供されているデバイス
• Metromile の従量制自動車保険サービス向けに提供されているデバイス

Mobile Devices 製 C4 OBD2 ドングルは、Metromile の従量制自動車保険用ドングルなどのような他社ブランド向けデバイスのベースとなっている製品です。これらのデバイスは、車両用オンボード診断ポート (OBD-II) に接続して使用されます。デバイスには、GPS 受信機、携帯電話用チップ、オンボードのマイクロプロセッサが搭載されており、CAN バスを通じて、速度やブレーキなどに関する情報を取得します。また、携帯電話用ネットワークを通じて、車両の運行に関するデータをサービス事業者と共有します。

OBD-II ポートへのアクセスにより、車両機能を完全に制御可能であることが示されています。

下に挙げる脆弱性のいくつかについて、Mobile Devices は反論を示しています。Mobile Devices は、本脆弱性の発見者が入手したデバイスは開発用デバイスであり、製品としての利用を意図したものではなく、発見者が指摘した脆弱性の一部は市場に出回っている製品には存在しない、と主張しています。CERT/CC は、こうした主張の正当性を検証していませんが、発見者から提供された情報から、発見者が入手したデバイスには次の脆弱性が存在することを確認しています。

重要な機能に対する認証の欠如の問題 (CWE-306)
当該デバイスにはデバッグ用サービス (telnet、ssh、http) が含まれています。これらは初期状態で有効であり、遠隔から接続可能です。

Mobile Devices の回答：これは開発者用 / デバッグ用デバイスにおける問題のため、一般顧客向けデバイスには含まれておらず、現時点でリリースされているものでは修正 (無効化) されています。

CERT/CC の分析：発見者によると、本脆弱性がすべての顧客に通知され、デバイスがアップデートされたかは不明とのことです。

暗号鍵がハードコードされている問題 (CWE-321) - CVE-2015-2906
当該デバイスには複数のサービス (telnet、ssh、http) が含まれています。これらは初期状態で有効であり、遠隔から接続可能です。これらのサービスはデバッグ目的に利用されるものと考えられます。当該デバイスには、ルートアカウント用、アップデートサーバ用、デバイス自体用に合計 6個の ssh 秘密鍵が含まれており、これらの鍵はすべての C4 OBD2 ドングルで共通です。ユーザ側でドングルの設定変更ができないことから、これらの秘密鍵を取得すれば、すべての C4 OBD2 ドングルへの攻撃が可能です。

Mobile Devices の回答：これは開発者用 / デバッグ用デバイスにおける問題のため、一般顧客向けデバイスには含まれておらず、現時点でリリースされているものでは修正 (無効化) されています。

CERT/CC の分析：発見者によると、本脆弱性がすべての顧客に通知され、デバイスがアップデートされたかは不明とのことです。

認証情報がハードコードされている問題 (CWE-798) - CVE-2015-2907
C4 OBD2 ドングルに SSH ログインするためのユーザ名とパスワードはハードコードされており、すべてのデバイスで同一です。これらの認証情報を知っていれば、すべての C4 OBD2 ドングルへのアクセスが可能です。

Mobile Devices の回答：これは開発者用 / デバッグ用デバイスにおける問題のため、一般顧客向けデバイスには含まれておらず、現時点でリリースされているものでは修正 (無効化) されています。

CERT/CC の分析：発見者によると、本脆弱性がすべての顧客に通知され、デバイスがアップデートされたかは不明とのことです。

不適切な認可処理 (CWE-285)
C4 OBD2 ドングルは、デバイスに対する遠隔アップデートにおいて SMS を使用しています。SMS には暗号化や認証の仕組みがないため、安全ではありません。当該デバイスは、認可の仕組みとして、電話番号によるホワイトリストを採用しています。

Mobile Devices の回答：我々のガイドラインでは、この問題を防ぐために SMS をサポートしていない SIM カードを用いるべきと記載しています。

CERT/CC の分析：発見者によると、本脆弱性がすべての顧客に通知され SMS が無効化されたかは不明とのことです。

データの信頼性についての不十分な検証 (CWE-345) - CVE-2015-2908
C4 OBD2 ドングルは、ファームウェアアップデートの内容を検証していません。攻撃者が制御するサーバからアップデートを受け取るように仕向けられることで、任意のコードをデバイスにアップロードされる可能性があります。

Mobile Devices の回答：1) これは開発者用 / デバッグ用デバイスにおける不具合で、一般顧客向けデバイスでは 3年前に修正されています。開発者向けバージョンではローカル接続が有効となっています。
2) この問題は、SMS が有効な場合、もしくは 3年以上前の古いソフトウェアでのみ発生します。

CERT/CC の分析：発見者によると、本脆弱性がすべての顧客に通知され、デバイスがアップデートされたかは不明とのことです。

Mobile Device の OBD-II プラットフォームは、複数の OBD-II リセラーに採用されていますが、CERT/CC は Metromile 社以外のリセラーの一覧を入手できていません。本脆弱性に該当する可能性があり、一覧に掲載されていない配布元およびその顧客は、メールの件名に VU#209512 を含めて cert@cert.org まで連絡してください。CERT/CC はすべての配布元にこれらの問題に関する通知を行えるよう Mobile Devices と協力しています。

また、Metromile は次の声明を発表しています。

In June, Metromile learned that several vulnerabilities were discovered in Mobile Devices (MDI) OBD-II dongles that could be used to compromise the devices remotely. Metromile worked with MDI to ensure that all common configurations of Metromile Pulse, used by our per-mile insurance customers, received OTA updates as soon as possible. By July 24th, MDI had released updated versions of its 2.x and 3.4.x firmware which resolved the discovered exploits. As of today, most devices have successfully downloaded and applied the appropriate firmware update and we expect the remainder of devices to be patched by mid-August. Most devices that have not yet taken the patch show no signs of network activity and have not contacted update servers since before updated firmware was made available.

認証されていない遠隔の攻撃者によって、当該デバイス上で任意のコードを実行される可能性があります。結果として、車両が破壊されたり、搭乗者の身体に危害が及んだりする可能性があります。

アップデートする
Metromile は無線ネットワークを経由して (over-the-air) アップデートを提供しています。現時点では、CERT/CC はアップデートの適用を確認する方法について把握していません。
Mobile Devices は開発者向けデバイスに対するアップデートを提供しています。現時点では、CERT/CC はアップデートの適用を確認する方法について把握していません。

デバイスを車両に接続しない
所有するデバイスが本脆弱性に該当するか不明な場合は、修正が確認されるまでは当該デバイスを車両に接続しないでください。