Autoevolutionによると、最近 YouTube に投稿されたビデオクリップには、トヨタ車に座った男性がハンドル横のボタンを押し続けている様子が映っている。赤いライトが点滅している場合は、キーがないためエンジンを始動できないことを示します。すぐに、この人物は Nokia 3310 携帯電話を取り出し、黒いケーブルを使って車に接続しました。この時点で、彼は 3310 の小さな LCD 画面に「接続。データを受信」と表示されたいくつかのオプションをスクロールしました。

研究者らによると、これが起こると、攻撃者はドアのロック解除やエンジンの始動など、車両の機能に完全にアクセスできるようになるという。 RAV4 やランドクルーザーを含む多くのトヨタ車に対応しています。これは、ハッカーが偽のキー認証メッセージを ECU に送信することができるためです。トヨタの一部のモデルは外部ECUからのメッセージを受け入れるため、ハッカーは二次ECUを模倣するデバイスを構築し、細工したメッセージを送信して車のエンジンを始動し、車の元のキーを必要とせずに車を走らせた。

Nokia 3310 だけでなく、他の多くの携帯電話でもこの脆弱性が悪用される可能性があります。この脆弱性はトヨタの一部車種に加え、レクサスやマセラティの車両にも影響を及ぼす。エクスプロイトデバイスの価格はおよそ 2,700 ドルから 20,000 ドルです。

この脆弱性を修正するには、自動車メーカーはCAN（コントロールエリアネットワーク）メッセージに暗号化セキュリティを追加する必要があると研究者らは述べた。これにより、承認された ECU 以外のソースからのメッセージが基本的にブロックされます。しかし、これまでのところ、関連するハッキングがますます一般的になっているにもかかわらず、トヨタはバグを修正するよう求める声をすべて無視しているようだ。研究者らが脆弱性を公表することに決めたのはこのためであり、このような事態が起こった場合にのみトヨタはパッチをリリースしなければならないと彼らは考えている。

現時点では、トヨタがこの報告書を検討し、この既存の脆弱性に対処するためのパッチを開発するかどうかは不明です。