สัญญาณเตือนภัยรถยนต์อาจถูกแฮกได้ รถยนต์สามล้านคันเสี่ยงต่อการถูกขโมย

สัญญาณเตือนภัยรถยนต์อาจถูกแฮกได้ รถยนต์สามล้านคันเสี่ยงต่อการถูกขโมย

เจ้าของรถหลายล้านคนเสี่ยงต่อการถูกขโมยรถยนต์ เนื่องจากติดตั้งสัญญาณกันขโมยให้เชื่อมต่อกับแอปพลิเคชัน สัญญาณเตือนของรถยนต์ถูกออกแบบมาเพื่อเพิ่มความปลอดภัยให้กับยานพาหนะ แต่พบว่ายังมีข้อบกพร่องอยู่จริงจัง

Pen Test Partners ทำการวิจัยพบว่าในความเป็นจริงแล้วการติดตั้งสัญญาณกันขโมยรถยนต์แล้วเชื่อมต่อกับแอปพลิเคชัน เป็นการเปิดโอกาสให้อาชญากรขโมยรถของคุณได้

นักวิจัยตรวจสอบสัญญาณเตือนที่ผลิตโดย Pandora และ Clifford (รู้จักกันในสหรัฐอเมริกาในชื่อ "Viper") ทั้งสร้างสัญญาณเตือนที่สามารถเข้าถึง และควบคุมผ่านแอปสมาร์ทโฟน และใช้งานภายในรถยนต์สามล้านคัน

ในอดีต Pandora ทำการตลาดผลิตภัณฑ์และประกาศอย่างโจ่งแจ้งว่าผลิตภัณฑ์ของตน “Un-Hackable” ซึ่งนั่นคือความกล้าหาญ (แต่บางคนบอกว่าไร้สาระ)

Pandora

 

แน่นอนว่าผลิตภัณฑ์ของ Pandora ถูกค้นพบว่าขาดความเข้าถึงปัญหาอย่างจริงจัง เกิดความล้มเหลวด้วยช่องโหว่ IDOR ระดับเริ่มต้น (การอ้างอิงถึงวัตถุที่ไม่ปลอดภัยโดยตรง) สิ่งที่ผู้โจมตีทั้งหมดต้องทำคือ ส่งที่อยู่อีเมลของผู้ใช้อื่นเป็นพารามิเตอร์ไปที่แบ็กเอนด์ของ Pandora

จากการวิจัยพบว่า ผู้ดูแลระบบสามารถใช้การโจมตีแบบเดียวกันนี้เพื่อให้สามารถเข้าถึงยานพาหนะหลายคันได้

เมื่อแฮกเกอร์ลงชื่อเข้าใช้บัญชีที่แฮกได้ พวกเขาสามารถรู้ได้ว่ายานพาหนะอยู่ที่ไหน ให้ระบุประเภทของยานพาหนะที่พวกเขาควบคุมอยู่ (เพื่อขโมยคำสั่ง หรือกำหนดเป้าหมายรถยนต์ที่มีมูลค่าสูงสุด)

 

Car app

 

สามารถปลดล็อกรถยนต์ได้ เครื่องยนต์สามารถสตาร์ทและหยุดจากระยะไกลได้

นักวิจัยได้แสดงให้เห็นว่า พวกเขาสามารถปรับแต่งยานพาหนะเป้าหมายได้อย่างไร ทำการตั้งค่าการเตือนจากระยะไกล (ทำให้ผู้ขับขี่หยุดการตรวจสอบ) จากนั้นจึงหยุดการเคลื่อนที่ การใช้กำลังเพียงเล็กน้อยจะเป็นสิ่งที่จำเป็นในการขโมยกุญแจจากคนขับ และขโมยรถของพวกเขาเอง

 

ในกรณีของสัญญาณเตือนภัยอื่นๆ นักวิจัยค้นพบว่า พวกเขาสามารถเข้าถึงไมโครโฟนของสัญญาณเตือนรถ จากระยะไกลโดยทำการสอดแนมการสนทนาที่เกิดขึ้นในบริเวณใกล้เคียงได้

Ken Munro จาก Pen Test Partners ได้สรุปสถานการณ์ว่า “นี่เป็นเรื่องที่แย่จริงๆ”

นักวิจัยได้แจ้งให้ผู้ขายทราบถึงปัญหาที่เกิดขึ้นกับสัญญาณเตือนของพวกเขา และตอนนี้ทั้งคู่ได้รับการยืนยันแล้วว่า มีการแก้ไขเรียบร้อยแล้ว หวังว่า Pandora จะเรียนรู้ว่าไม่ควรอ้างว่าผลิตภัณฑ์ของตน “Un-Hackable”

อย่างไรก็ตาม ยังคงมีผลิตภัณฑ์อื่นๆ ซึ่งถูกพัฒนาโดยผู้จำหน่ายที่มีความมั่นใจมากเกินไป เกี่ยวกับประสิทธิภาพของผลิตภัณฑ์ว่าไร้ช่องโหว่ แต่แท้จริงแล้วอาจเต็มไปด้วยช่องโหว่ที่ร้ายแรงเช่นเดียวกัน