Breaking News

นักวิจัยพบช่องโหว่ ทำ DoS ใส่ระบบเบรคและพวงมาลัยของ Connected Car ได้ ไม่สามารถ Patch ได้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Linklayer Labs และ Trend Micro ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่บนรถยนตร์สมัยใหม่ที่เป็นแบบ Connected Car ว่าสามารถถูกทำ Denial of Service (DoS) ใส่ระบบเบรค, ถุงลมนิรภัย, เซ็นเซอร์ช่วยจอดรถ และพวงมาลัยให้หยุดทำงานได้ โดยช่องโหว่เหล่านี้ยังไม่สามารถ Patch ได้อีกด้วย

Cradit: ShutterStock.com

 

ช่องโหว่นี้เกี่ยวข้องกับระบบ Controller Area Network (CAN) ซึ่งเป็นระบบศูนย์กลางสำหรับสื่อสารระหว่างอุปกรณ์ต่างๆ ภายในรถยนต์โดยตรง โดยเกิดจากที่ระดับของการออกแบบมาตรฐาน CAN ทำให้ไม่สามารถ Patch ได้ นอกจากจะมีการแก้ไขมาตรฐานเสียใหม่ และสิ่งที่เหล่าผู้ผลิตรถยนต์ทำได้นั้นมีเพียงแค่การตรวจสอบและจำกัดวงความเสียหายของการโจมตีจากข้อมูลการสื่อสารที่เกิดขึ้นผ่าน CAN เท่านั้น แต่ไม่สามารถแก้ไขปัญหาที่ต้นเหตุได้

การโจมตีระบบ CAN สามารถเกิดขึ้นได้ทั้งจากระบบภายในเองหากมีการเปิด Port ใดๆ ก็ตามเอาไว้ให้ผู้โจมตีเข้าถึงได้ และหากรถยนต์มีช่องโหว่ให้ทำการเชื่อมต่อเข้ามาจากภายนอกได้สำเร็จ ระบบ CAN ก็จะสามารถถูกโจมตีได้จากระยะไกลเช่นเดียวกัน ซึ่งถือเป็นประเด็นที่อันตรายไม่น้อยเพราะกระทบกับความปลอดภัยของผู้ขับขี่โดยตรง โดยมีคลิปอธิบายและแสดงตัวอย่างการโจมตีให้ได้ศึกษาอยู่ที่คลิปดังนี้ครับ

CAN Protocol ถูกออกแบบมาตั้งแต่ปี 1983 และกลายเป็นมาตรฐาน ISO ในปี 1993 โดยรถยนต์ในปัจจุบันนี้ส่วนใหญ่ก็ใช้มาตรฐานนี้ทั้งสิ้น

สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติม สามารถศึกษาจากเอกสารแสดงข้อมูลเทคนิคเชิงลึกได้ที่ https://documents.trendmicro.com/assets/A-Vulnerability-in-Modern-Automotive-Standards-and-How-We-Exploited-It.pdf และ https://link.springer.com/chapter/10.1007/978-3-319-60876-1_9 ครับ

 

ที่มา: https://nakedsecurity.sophos.com/2017/08/25/hackable-flaw-in-connected-cars-is-unpatchable-warn-researchers/https://www.bleepingcomputer.com/news/security/unpatchable-flaw-affects-most-of-todays-modern-cars/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Azure ประกาศฟีเจอร์ตรวจจับ Fileless Attack ด้วย Security Center เข้าสู่สถานะ GA แล้ว

Fileless Attack เป็นวิธีการโจมตีสมัยใหม่ที่ได้รับความนิยมเป็นอย่างมากเพราะช่วยให้สามารถหลีกเลี่ยงการตรวจจับของ Antivirus หรือกลไกการตรวจสอบแบบเดิมซึ่งตอนนี้ทาง Azure ได้พัฒนาความสามารถบน Security Center ให้ตรวจจับการโจมตีชนิดนี้ได้และได้ประกาศเป็นสถานะพร้อมใช้งานจริงแล้ว

Atlassian ยกเครื่อง Jira Software ใหม่เน้นความง่ายในการใช้งาน

Atlassian เจ้าของซอฟต์แวร์ Jira หรือเครื่องมือติดตามการพัฒนาโปรเจ็คด้านซอฟต์แวร์ได้ยกเครื่อง Jira ใหม่โดยเน้นตอบโจทย์ด้าน User Experience ด้วยการเน้นดีไซน์ให้ผู้ใช้สามารถเข้าใจได้ง่ายมากกว่าเดิม รวมถึงได้ออกแบบ Back-end Stack ใหม่ด้วยเช่นกัน