CDIC 2023

นักวิจัยพบช่องโหว่ ทำ DoS ใส่ระบบเบรคและพวงมาลัยของ Connected Car ได้ ไม่สามารถ Patch ได้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Linklayer Labs และ Trend Micro ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่บนรถยนตร์สมัยใหม่ที่เป็นแบบ Connected Car ว่าสามารถถูกทำ Denial of Service (DoS) ใส่ระบบเบรค, ถุงลมนิรภัย, เซ็นเซอร์ช่วยจอดรถ และพวงมาลัยให้หยุดทำงานได้ โดยช่องโหว่เหล่านี้ยังไม่สามารถ Patch ได้อีกด้วย

Cradit: ShutterStock.com

 

ช่องโหว่นี้เกี่ยวข้องกับระบบ Controller Area Network (CAN) ซึ่งเป็นระบบศูนย์กลางสำหรับสื่อสารระหว่างอุปกรณ์ต่างๆ ภายในรถยนต์โดยตรง โดยเกิดจากที่ระดับของการออกแบบมาตรฐาน CAN ทำให้ไม่สามารถ Patch ได้ นอกจากจะมีการแก้ไขมาตรฐานเสียใหม่ และสิ่งที่เหล่าผู้ผลิตรถยนต์ทำได้นั้นมีเพียงแค่การตรวจสอบและจำกัดวงความเสียหายของการโจมตีจากข้อมูลการสื่อสารที่เกิดขึ้นผ่าน CAN เท่านั้น แต่ไม่สามารถแก้ไขปัญหาที่ต้นเหตุได้

การโจมตีระบบ CAN สามารถเกิดขึ้นได้ทั้งจากระบบภายในเองหากมีการเปิด Port ใดๆ ก็ตามเอาไว้ให้ผู้โจมตีเข้าถึงได้ และหากรถยนต์มีช่องโหว่ให้ทำการเชื่อมต่อเข้ามาจากภายนอกได้สำเร็จ ระบบ CAN ก็จะสามารถถูกโจมตีได้จากระยะไกลเช่นเดียวกัน ซึ่งถือเป็นประเด็นที่อันตรายไม่น้อยเพราะกระทบกับความปลอดภัยของผู้ขับขี่โดยตรง โดยมีคลิปอธิบายและแสดงตัวอย่างการโจมตีให้ได้ศึกษาอยู่ที่คลิปดังนี้ครับ

CAN Protocol ถูกออกแบบมาตั้งแต่ปี 1983 และกลายเป็นมาตรฐาน ISO ในปี 1993 โดยรถยนต์ในปัจจุบันนี้ส่วนใหญ่ก็ใช้มาตรฐานนี้ทั้งสิ้น

สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติม สามารถศึกษาจากเอกสารแสดงข้อมูลเทคนิคเชิงลึกได้ที่ https://documents.trendmicro.com/assets/A-Vulnerability-in-Modern-Automotive-Standards-and-How-We-Exploited-It.pdf และ https://link.springer.com/chapter/10.1007/978-3-319-60876-1_9 ครับ

 

ที่มา: https://nakedsecurity.sophos.com/2017/08/25/hackable-flaw-in-connected-cars-is-unpatchable-warn-researchers/https://www.bleepingcomputer.com/news/security/unpatchable-flaw-affects-most-of-todays-modern-cars/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

LINE ประเทศไทย จัดงาน LINE Conference Thailand 2023 ชูเทคโนโลยี Hyper-localized ยกระดับชีวิต ธุรกิจ และนักพัฒนา ก้าวสู่การเป็น “แพลตฟอร์มเปิดเพื่อคนไทย” [Guest Post]

ครั้งแรกของ LINE ประเทศไทย กับงานสัมมนาด้านเทคโนโลยีครั้งใหญ่ LINE Conference Thailand 2023 หรือ #LCT23 พร้อมประกาศวิสัยทัศน์ ทิศทาง และกลยุทธ์ก้าวต่อไปในการพัฒนาและดำเนินการด้านเทคโนโลยีใหม่แห่งปี สู่การเป็น “แพลตฟอร์มเปิดเพื่อคนไทย” …

รับมือกับ Ransomware ด้วย Backup Solution จาก Nipa Cloud

Backup Solution เป็นแนวทางป้องกันเหตุฉุกเฉินสุดท้ายที่องค์กรพึงมี โดยเฉพาะเหตุโจมตีจาก Ransomware ตัวป่วนที่ยังคงเกิดขึ้นอยู่เสมอ เชื่อแน่ว่าท่านคงจะได้ยินข่าวความเสียหายที่ธุรกิจองค์กรยังคงตกเป็นเหยื่อการโจมตีรายวัน แน่นอนว่าการเตรียมการไว้ล่วงหน้าอย่างสม่ำเสมอย่อมดีกว่าการแก้ปัญหาในภายหลัง ซึ่งเสียทั้งเวลา ความน่าเชื่อถือ และมูลค่าของธุรกิจ ในบทความนี้จะพาทุกท่านร่วมกันถอดบทเรียนจากกรณีศึกษาหนึ่งของผู้ใช้บริการ Backup Solution กับ …