ドイツに本拠を置く自動車部品大手、ボッシュは4月13日、ボッシュの車載コネクトアプリケーションの認証プロセスにセキュリティ上の欠陥が見つかった、と発表した。
これは、イスラエルに本拠を置く世界最大の独立系自動車サイバーセキュリティ企業、アルグスサイバーセキュリティ社の指摘を受けての対応。同社によると、スマートフォンアプリの認証プロセスに、ブルートゥース経由で車をコントロールできるセキュリティの脆弱性を発見。車両に内蔵されたボッシュのドライブログコネクタードングルを使って、車両システムの安全上重要な部分を遠隔で乗っ取ることに成功したという。
アルグスの研究グループは、通信チャンネルへのアクセスに成功した後、メッセージのコマンドストラクチャーを複製して、車載ネットワークに有害メッセージを送信。これらの脆弱性を使うことで、特定のメッセージだけを通すように設計されたセキュアメッセージフィルターを回避。走行中の車両を制御し、遠隔でエンジンを停止させた。
ボッシュのセキュリティ担当、Thorsten Kuhles氏は、「ボッシュはセキュリティを非常に深刻に捉えている。アルグスからセキュリティの欠陥の報告を受け、その問題を検証し、解決するべく、直ちに行動した」と述べている。
