CDIC 2023

พบช่องโหว่บนระบบ IVI ของรถ Volkswagen และ Audi

นักวิจัยจาก Computest บริษัทให้บริการด้านความมั่นคงปลอดสัญชาติเนเธอแลนด์ได้ค้นพบช่องโหว่บนระบบ In-Vehicle infotainment (IVI หรือ ระบบที่รวมเครื่องมือในการใช้ข้อมูลและสื่อสาร เช่น วิทยุ เครื่องเล่นซีดี การเชื่อมต่อกับมือถือด้วย hands-free ระบบสั่งการด้วยเสียง) ซึ่งระบบนี้ถูกใช้กับรถของ Volkswagen Golf GTE และ Audi A3 Sportback โมเดล e-tron

credit : Bleepingcomputer.com

นักวิจัยสามารถแฮ็กสู่ระบบผ่านการต่อ WiFi กับรถและได้รับสิทธิ์การเข้าถึงในระดับผู้ดูแล ซึ่งตรงนี้เองนักวิจัยจึงสามารถเข้าไปยังข้อมูลส่วนอื่นของรถได้ นักวิจัยกล่าวว่า “ผู้โจมตีสามารถฟังการสนทนาของคนขับผ่าน Car kit หรือเปิด/ปิดไมโครโฟน เข้าถึงสมุดที่อยู่ของรถ และประวัติของบทสนาได้” นอกจากนี้นักวิจัยยังเชื่อว่า “ช่องโหว่ที่ค้นพบมีความเป็นไปได้ที่จะเผยถึงระบบนำทาง ทำให้ทราบว่ารถอยู่ที่ไหนได้ตลอดเวลา” อย่างไรก็ตามนักวิจัยยังได้กล่าวว่าระบบ IVI มีการเชื่อมต่อโดยอ้อมไปยังระบบเร่งและเบรคของรถ แต่นักวิจัยก็ตัดสินใจไม่แฮ็กเข้าไปต่อเพราะกลัวเรื่องของการละเมิดทรัพย์สินทางปัญญาของบริษัทรถ

ฝั่งบริษัท Volkswagen ได้แย้งว่า “การเชื่อมต่อที่เปิดอยู่บน Golf GTE และ Audi A3 ถูกปิดแล้วโดยการอัปเดตซอฟต์แวร์ IVI ตั้งแต่สัปดาห์ที่ 22 ปี 2016 จากในไลน์ผลิต” แต่นักวิจัยกังวลว่ามีแผนอย่างไรต่อในเมื่อลูกค้าที่ซื้อไปแล้วไม่สามารถอัปเดตปิดช่องโหว่จากระยะไกลเข้ามาได้ โดยนักวิจัยเองได้ออกรายงานช่องโหว่แต่ไม่ได้ให้รายละเอียดในเชิงลึกอะไรมากนัก

ที่มา : https://www.bleepingcomputer.com/news/security/volkswagen-and-audi-cars-vulnerable-to-remote-hacking/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เชิญร่วมงานสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 วันที่ 6 ตุลาคม 2023

Bay Computing ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 ซึ่งจัดขึ้นภายใต้ธีม “First Class Cybersecurity to …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …