Flipper Zeroのダークウェブファームウェアでローリングコードセキュリティを回避

• Flipper Zeroのカスタムファームウェアが最近、車両のローリングコードセキュリティを完全に無力化することが確認された
• この攻撃は従来のRollJam方式と異なり、キーの単一信号だけをキャプチャすることですべてのボタン機能を複製できる
• 攻撃に使用された手法は、シーケンスのリバースエンジニアリングまたは膨大なコードリストを用いたブルートフォース手法である
• ファームウェアは最近の論文で提唱されたRollBack攻撃原理をベースに動作している
• Chrysler、Ford、Hyundaiなど複数メーカーの車両が被害対象で、簡単な解決策はない

Flipper Zeroを使ったローリングコード脆弱性

最近、Flipper Zeroに適用されたカスタムファームウェアが、車両のリモートスタートキーに用いられるローリングコードセキュリティを回避することを、YouTubeチャンネルTalking Sasquachが実演した

ローリングコード・セキュリティと既存の攻撃手法

• ローリングコードシステムは、送信機（キー）と受信機（車両）が同期されたアルゴリズムで毎回新しいワンタイムコードを生成する
• この方式は**リプレイ攻撃（replay）**や不正アクセスを防ぐ目的で採用されている
• 過去にはRollJamという攻撃方式があり、これは車両信号をジャム（jam）してキャプチャし再利用する方式だが、実戦での適用は難しい

新たに登場した攻撃手法

• 今回の攻撃は単一ボタンの信号だけをキャプチャすれば、ロック、アンロック、トランク開放などすべての機能を複製できる
• この方式は追加の信号妨害や追加機器なしで、Flipper Zeroだけで十分である
• キー信号がキャプチャされると、既存のリモートキーは同期から外れて使用不可の状態になる

攻撃原理

• 攻撃者はシーケンスの漏えいあるいは膨大なシーケンスリストを基にしたブルートフォースでローリングコードパターンをリバースエンジニアリングする
• 一部の専門家は、このファームウェアが最近発表された論文のRollBack攻撃理論を流用していると分析している
  • RollBack方式は、キャプチャしたローリングコードを特定の順序で再生することで同期システムを後方へ戻す原理である

影響および対応状況

• デモ映像では、1回のキャプチャだけでリモートキー全体がエミュレーションされる様子を確認できる
• 影響を受けるメーカーはChrysler、Dodge、Fiat、Ford、Hyundai、Jeep、Kia、Mitsubishi、Subaruなど
• 現時点ではソフトウェアパッチや簡単な修正が不可能で、極端な対処として大規模な車両リコールを除き、即時適用可能な解決策は確認されていない