ช่องโหว่ระบบสัญญาณเตือนรถยนต์อาจทำให้แฮกเกอร์สามารถปิดสัญญาณ ติดตาม และควบคุมระบบล็อครถได้ และในบางกรณีนักวิจัยความปลอดภัยยังสามารถดักฟังบทสนทนาภายในรถผ่านไมค์ที่เอาไว้รับคำสั่งเสียง รวมถึงสั่งดับเครื่องยนต์ในขณะวิ่งอยู่
Pen Test Partners ให้ข้อมูลว่าช่องโหว่ดังกล่าวอยู่ในแอปพลิเคชั่นของสององค์กร — Pandora ของรัสเซีย และ Viper จากสหรัฐอเมริกา หรือในสหราชอาณาจักรชื่อว่า Clifford ซึ่งเคยประกาศว่าผลิตภัณฑ์ของพวกเขานั้นไม่สามารถแฮกได้ (Unhackable)
นักวิจัยความปลอดภัยบอกว่า API (Application Programming Interfaces) ของทั้งสองแอปพลิเคชั่นบางครั้งไม่สามารถตอบรับคำขอได้อย่างที่ควรจะเป็น ซึ่งอาจนำไปสู่การยึดบัญชีได้
“เพียงแค่หลอกระบบให้อัพเดตอีเมลที่ลงทะเบียน (โดยไม่จำเป็นต้องยืนยันตัวตน) และส่งรหัสผ่านไปยังอีเมลที่แฮกเกอร์ต้องการ เท่านี้ก็สามารถยึดบัญชีที่เชื่อมต่อกับรถยนต์เป็นของตัวเองได้แล้ว”
นอกจากนี้นักวิจัยความปลอดภัยยังนำตัวระบบสัญญาณแจ้งเตือน มาแสดงการทดสอบด้วยการสร้างบัญชีทดสอบแล้วนำไปยึดบัญชีตัวจริง “ทั้งสองแอปพลิเคชั่นสามารถสร้างบัญชี ที่สามารถเข้าถึงข้อมูลของบัญชีตัวจริงได้” ทาง Pen Test Partners บอก
ณ ตอนนี้ทั้งสององค์กรรับรู้เกี่ยวกับช่องโหว่และดำเนินการแก้ไขแล้ว
Author: Tomáš Foltýn
Source: https://www.welivesecurity.com/2019/03/08/flaws-in-smart-car-alarms/
Translated by: Worapon H.
Like this:
ถูกใจ กำลังโหลด...
WeLiveSecurity Thai Edition's 
ช่องโหว่ระบบสัญญาณเตือนรถยนต์อาจทำให้แฮกเกอร์สามารถปิดสัญญาณ ติดตาม และควบคุมระบบล็อครถได้ และในบางกรณีนักวิจัยความปลอดภัยยังสามารถดักฟังบทสนทนาภายในรถผ่านไมค์ที่เอาไว้รับคำสั่งเสียง รวมถึงสั่งดับเครื่องยนต์ในขณะวิ่งอยู่
Pen Test Partners ให้ข้อมูลว่าช่องโหว่ดังกล่าวอยู่ในแอปพลิเคชั่นของสององค์กร — Pandora ของรัสเซีย และ Viper จากสหรัฐอเมริกา หรือในสหราชอาณาจักรชื่อว่า Clifford ซึ่งเคยประกาศว่าผลิตภัณฑ์ของพวกเขานั้นไม่สามารถแฮกได้ (Unhackable)
นักวิจัยความปลอดภัยบอกว่า API (Application Programming Interfaces) ของทั้งสองแอปพลิเคชั่นบางครั้งไม่สามารถตอบรับคำขอได้อย่างที่ควรจะเป็น ซึ่งอาจนำไปสู่การยึดบัญชีได้
“เพียงแค่หลอกระบบให้อัพเดตอีเมลที่ลงทะเบียน (โดยไม่จำเป็นต้องยืนยันตัวตน) และส่งรหัสผ่านไปยังอีเมลที่แฮกเกอร์ต้องการ เท่านี้ก็สามารถยึดบัญชีที่เชื่อมต่อกับรถยนต์เป็นของตัวเองได้แล้ว”
นอกจากนี้นักวิจัยความปลอดภัยยังนำตัวระบบสัญญาณแจ้งเตือน มาแสดงการทดสอบด้วยการสร้างบัญชีทดสอบแล้วนำไปยึดบัญชีตัวจริง “ทั้งสองแอปพลิเคชั่นสามารถสร้างบัญชี ที่สามารถเข้าถึงข้อมูลของบัญชีตัวจริงได้” ทาง Pen Test Partners บอก
ณ ตอนนี้ทั้งสององค์กรรับรู้เกี่ยวกับช่องโหว่และดำเนินการแก้ไขแล้ว
Author: Tomáš Foltýn
Source: https://www.welivesecurity.com/2019/03/08/flaws-in-smart-car-alarms/
Translated by: Worapon H.
Share this:
Like this: