Cybersecurity Hacking News

ช่องโหว่ในระบบรถอัจฉริยะทำให้รถยนต์มากกว่า 3 ล้านคันตกอยู่ในความเสี่ยง

Pen Test Partners เปิดโปงช่องโหว่ในสองแอปพลิเคชั่นรถยนต์ที่อาจทำให้ล้านกว่า 3 ล้านคนตกอยู่ในความเสี่ยง

ช่องโหว่ระบบสัญญาณเตือนรถยนต์อาจทำให้แฮกเกอร์สามารถปิดสัญญาณ ติดตาม และควบคุมระบบล็อครถได้ และในบางกรณีนักวิจัยความปลอดภัยยังสามารถดักฟังบทสนทนาภายในรถผ่านไมค์ที่เอาไว้รับคำสั่งเสียง รวมถึงสั่งดับเครื่องยนต์ในขณะวิ่งอยู่

Pen Test Partners ให้ข้อมูลว่าช่องโหว่ดังกล่าวอยู่ในแอปพลิเคชั่นของสององค์กร — Pandora ของรัสเซีย และ Viper จากสหรัฐอเมริกา หรือในสหราชอาณาจักรชื่อว่า Clifford ซึ่งเคยประกาศว่าผลิตภัณฑ์ของพวกเขานั้นไม่สามารถแฮกได้ (Unhackable)

นักวิจัยความปลอดภัยบอกว่า API (Application Programming Interfaces) ของทั้งสองแอปพลิเคชั่นบางครั้งไม่สามารถตอบรับคำขอได้อย่างที่ควรจะเป็น ซึ่งอาจนำไปสู่การยึดบัญชีได้

“เพียงแค่หลอกระบบให้อัพเดตอีเมลที่ลงทะเบียน (โดยไม่จำเป็นต้องยืนยันตัวตน) และส่งรหัสผ่านไปยังอีเมลที่แฮกเกอร์ต้องการ เท่านี้ก็สามารถยึดบัญชีที่เชื่อมต่อกับรถยนต์เป็นของตัวเองได้แล้ว”

นอกจากนี้นักวิจัยความปลอดภัยยังนำตัวระบบสัญญาณแจ้งเตือน มาแสดงการทดสอบด้วยการสร้างบัญชีทดสอบแล้วนำไปยึดบัญชีตัวจริง “ทั้งสองแอปพลิเคชั่นสามารถสร้างบัญชี ที่สามารถเข้าถึงข้อมูลของบัญชีตัวจริงได้” ทาง Pen Test Partners บอก

ณ ตอนนี้ทั้งสององค์กรรับรู้เกี่ยวกับช่องโหว่และดำเนินการแก้ไขแล้ว

Author: Tomáš Foltýn
Source:
https://www.welivesecurity.com/2019/03/08/flaws-in-smart-car-alarms/
Translated by: Worapon H.

%d bloggers like this: