Honda Civic ヘッドユニットの USB 更新に潜む脆弱性「EvilValet」

Eric McDonald が 2021 年型 Honda Civic のヘッドユニットにおいて、USB 更新機構を悪用した任意コード実行を可能にする脆弱性を公開した。物理的なアクセスがあれば、公開されている AOSP テストキーを用いた改ざん更新ファイルのインストールが可能である。

リバースエンジニアリング研究者の Eric McDonald は 3 年前に Honda Civic ヘッドユニットのリバースエンジニアリング成果を発表してから、さらに詳細な分析結果を公開した。Honda はヘッドユニットの USB 経由での更新に対応しており、USB ドライブに格納された署名付き AOSP 更新ファイルが Android リカバリーを通じてステージングされ適用される仕組みとなっている。

Honda の実装と脆弱性の構造

Honda はヘッドユニットの署名検証ロジックを AOSP 標準実装に合わせたが、公開されている AOSP テストキーを res/keys に残存させたままにしていた。verify_file 署名ロジックは stock AOSP と同じであるため、公開されているテストキーを用いて適切に USB ドライブをフォーマットすれば、任意のファイルをヘッドユニットにインストールできる状態にある。McDonald は「MRC_EU_SW_v12_4.zip」という欧州向けの公開ソフトウェア更新ファイルがこのテストキーで署名されている例を示した。

攻撃シナリオ「EvilValet」

McDonald は 「このイビルメイド攻撃はホテルの部屋ではなく、車のキャビンへの物理的アクセスが必要なため、イビルバレット攻撃と呼ぶことにしている」と述べた。ヘッドユニットに電源があり、攻撃者が前部の USB ポートへ物理的にアクセスできれば、更新パスを通じてヘッドユニットに対して任意コード実行を達成できる。McDonald は具体的なシナリオとして 「ジャーナリストがホテルにバレットサービスを利用して車を預ける。そのバレットが三文字機関で働いていて、USB 経由で更新をインストールする」という事例を想定している。

リバースエンジニアリング ツールとコミュニティ貢献呼びかけ

McDonald は ota-builder ツールをリリースし、更新ファイルの準備が可能になった。また apk-rebuilder ツールを公開して、ヘッドユニット コードの抽出と分析を容易にした。さらに既知バージョンのドキュメント化、ツールチェーンの開発、リバースエンジニアリング ツールの改善に協力するコントリビューターを募集しており、特に 10th gen Honda Civic に関する貢献を求めている。

筆者の見立て

• この脆弱性がバレット（スタッフ）による車の所有者が気づかないうちの任意コード実行を可能にする可能性を示唆している。
• 更新プロセスはバージョン番号に大きく依存しており、復旧ループやデバイスのソフトウェア化を招く脆弱性を持つと解釈している。
• Honda の全更新が AOSP テストキーで署名されている可能性が高いと論じている。

この記事は元記事の事実のみに基づいて自動生成されました。

出典

Juniperspring、「Honda Civics and the Evil Valet」、https://juniperspring.org/posts/honda-evil-valet/