นักวิจัยพบช่องโหว่ ทำ DoS ใส่ระบบเบรคและพวงมาลัยของ Connected Car ได้ ไม่สามารถ Patch ได้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Linklayer Labs และ Trend Micro ได้ออกมาเปิดเผยถึงการค้นพบช่องโหว่บนรถยนตร์สมัยใหม่ที่เป็นแบบ Connected Car ว่าสามารถถูกทำ Denial of Service (DoS) ใส่ระบบเบรค, ถุงลมนิรภัย, เซ็นเซอร์ช่วยจอดรถ และพวงมาลัยให้หยุดทำงานได้ โดยช่องโหว่เหล่านี้ยังไม่สามารถ Patch ได้อีกด้วย

Cradit: ShutterStock.com

 

ช่องโหว่นี้เกี่ยวข้องกับระบบ Controller Area Network (CAN) ซึ่งเป็นระบบศูนย์กลางสำหรับสื่อสารระหว่างอุปกรณ์ต่างๆ ภายในรถยนต์โดยตรง โดยเกิดจากที่ระดับของการออกแบบมาตรฐาน CAN ทำให้ไม่สามารถ Patch ได้ นอกจากจะมีการแก้ไขมาตรฐานเสียใหม่ และสิ่งที่เหล่าผู้ผลิตรถยนต์ทำได้นั้นมีเพียงแค่การตรวจสอบและจำกัดวงความเสียหายของการโจมตีจากข้อมูลการสื่อสารที่เกิดขึ้นผ่าน CAN เท่านั้น แต่ไม่สามารถแก้ไขปัญหาที่ต้นเหตุได้

การโจมตีระบบ CAN สามารถเกิดขึ้นได้ทั้งจากระบบภายในเองหากมีการเปิด Port ใดๆ ก็ตามเอาไว้ให้ผู้โจมตีเข้าถึงได้ และหากรถยนต์มีช่องโหว่ให้ทำการเชื่อมต่อเข้ามาจากภายนอกได้สำเร็จ ระบบ CAN ก็จะสามารถถูกโจมตีได้จากระยะไกลเช่นเดียวกัน ซึ่งถือเป็นประเด็นที่อันตรายไม่น้อยเพราะกระทบกับความปลอดภัยของผู้ขับขี่โดยตรง โดยมีคลิปอธิบายและแสดงตัวอย่างการโจมตีให้ได้ศึกษาอยู่ที่คลิปดังนี้ครับ

CAN Protocol ถูกออกแบบมาตั้งแต่ปี 1983 และกลายเป็นมาตรฐาน ISO ในปี 1993 โดยรถยนต์ในปัจจุบันนี้ส่วนใหญ่ก็ใช้มาตรฐานนี้ทั้งสิ้น

สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติม สามารถศึกษาจากเอกสารแสดงข้อมูลเทคนิคเชิงลึกได้ที่ https://documents.trendmicro.com/assets/A-Vulnerability-in-Modern-Automotive-Standards-and-How-We-Exploited-It.pdf และ https://link.springer.com/chapter/10.1007/978-3-319-60876-1_9 ครับ

 

ที่มา: https://nakedsecurity.sophos.com/2017/08/25/hackable-flaw-in-connected-cars-is-unpatchable-warn-researchers/https://www.bleepingcomputer.com/news/security/unpatchable-flaw-affects-most-of-todays-modern-cars/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Gmail เปิดให้ส่งต่ออีเมลในรูปไฟล์แนบแล้ว

Google ประกาศอัปเดตฟีเจอร์ใหม่บน Gmail ช่วยให้ผู้ใช้งานสามารถส่งต่ออีเมลที่กำลังอ่าน หรืออีเมลฉบับอื่นๆ รวมกันในรูปของไฟล์แนบ ช่วยให้ผู้รับสามารถเปิดดูอีเมลต้นฉบับทั้งหมด รวมไปถึง Headers ต่างๆ ที่มาพร้อมกับอีเมลเหล่านั้นได้ในทีเดียว

Microsoft Threat Protection เปิดให้ทดลองใช้งานแล้ว

Microsoft ประกาศเปิดให้ทดลองใช้ Microsoft Threat Protection แบบ Public Preview เพิ่มความสามารถในการตอบสนองต่อภัยคุกคามโดยอัตโมมัติ รวมไปถึงแก้ปัญหาที่เกิดขึ้นบนอุปกรณ์ อัตลักษณ์ของผู้ใช้งาน และกล่องอีเมลได้ด้วยตนเอง