By: lew 
on 22 July 2015 - 15:30
Tags:
Charlie Miller และ Chris Valasek นักวิจัยด้านความปลอดภัยเตรียมเปิดเผยช่องโหว่ของรถยนต์ Chrysler ที่ติดตั้งระบบ Uconnect ระบบคอมพิวเตอร์เพื่อให้บริการด้านความบันเทิง, ระบบนำทาง, ระบบแนะนำการขับอย่างประหยัดน้ำมัน
นักวิจัยทั้งสองคนสามารถเจาะเข้าไปแก้ไขเฟิร์มแวร์ของ Uconnect ให้ส่งคำสั่งเข้าไปยังระบบควบคุมรถผ่าน CAN bus ได้สำเร็จ ทำให้สามารถเข้าควบคุมความเร็วรถ และเป็นไปได้ว่าจะควบคุมพวงมาลัย
ความน่ากลัวของช่องโหว่นี้คือระบบ Uconnect นั้นเชื่อมต่ออินเทอร์เน็ตผ่านเครือข่ายโทรศัพท์มือถือ ทำให้แฮกเกอร์ควบคุมรถจากระยะไกลหลายกิโลเมตร
ทาง Chrysler รับทราบปัญหานี้และออกแพตช์แก้ไขออกมาแล้วตั้งแต่วันที่ 16 ที่ผ่านมา หลังจากนักวิจัยทั้งสองรายงานช่องโหว่ไปยังบริษัทเกือบเก้าเดือน ปัญหาคือแพตช์นี้จะต้องอัพเดตผ่าน USB หรือเข้าศูนย์เท่านั้น
ทั้งสองจะเปิดเผยช่องโหว่ในงาน Black Hat 2015 วันที่ 5-6 สิงหาคมนี้ ทาง Chrysler แสดงความขอบคุณนักวิจัยทั้งสองที่แจ้งช่องโหว่ แต่แสดงความไม่เห็นด้วยต่อการเปิดเผยข้อมูลสู่สาธารณะ
ที่มา - Wired
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
วันที => วันที่
เพิ่งอ่านบทความ Wired กับดูวิดีโอจบ บอกว่า แฮกเกอร์สั่งดับเครื่องยนต์ได้ ตัดเบรกได้ นี่เข้าขั้นหายนะแล้ว
เฮ่ย ไหง "ระบบคอมพิวเตอร์เพื่อให้บริการด้านความบันเทิง, ระบบนำทาง, ระบบแนะนำการขับอย่างประหยัดน้ำมัน" มันเข้าไปควบคุมความเร็วรถหรือพวงมาลัยได้ล่ะ มันควรจะเข้าไป "อ่าน" ข้อมูลอย่างเดียวสิ นี่มันผิดพลาดครั้งใหญ่มากเลยนะนั่น
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
กลับไป Offline เช่นเดิมเถอะ
ผมว่าCOMAND APS,COMAND ONLINE,Multi Media Interface และ Idrive จะเป็นรายต่อไป ผู้ผลิตรถยนต์ที่ใช้ระบบนี้ จะทำอย่างไร จะอัพเดทอย่างไรครับ
ถอดซิมการ์ดออกแล้ววิ่งเข้าศูนย์อัพ Firmware ใหม่เลย
ว่าแต่ Chrysler เขาจะสนใจปัญหาด้วยหรือเปล่า เพราะครั้งที่แยกทางกับ Daimler (Mercedes-Benz) ยังออกมาด่าตบท้ายว่าบริษัทอเมริกันเห็นทุกอย่างเป็นเงินอย่างเดียว ไม่แคร์ลูกค้าเลย
โจรขโมยรถสมัยนี้ มันใช้ obd programs เสียบเอานะครับ
รุ่นที่โดน แบบอึ๊งที่สุด คือ bmw 1 m รุ่น top สุด
ทุบกระจกรถ เสียบ obd ที่ใต้คอนโซล
กดปุ่ม start เอารถไปได้เลย
ทำใจได้อย่างเดียว หรือ จอดในที่ๆ
ไม่โดนทุบแน่ๆ ซึ่ง ที่แบบนั้น ขโมยก็ไม่ขโมยอยู่แล้ว .. ละมั้งนะ
อนาคต หัวฉีดในเครื่องต้อง identify ecu ด้วย ว่า firmware แท้หรือเล่า
รู้แล้ว โตขึ้นเรียนอะไรดี อิอิ ^^
(เรียนเพื่อป้องกันนะจ๊ะ ไม่ใช่เพื่อขโมย)
ไม่เห็นด้วยที่จะเอาช่องโหว่มาเปิดเผย ควรต้องจ่ายเขาหนักๆหรือจ้างเขาซะเลยสิ
จริงๆ คือควรแก้ปัญหาตั้งแต่เดือนสองเดือนแรก, ประกาศเรียกรถเข้าศูนย์เพื่ออัพเดต, ประกาศแจ้งเตือนด้วยตัวเองในกรณีที่มีคนยังตกหล่น ถ้าทำตั้งแต่แรกๆ รอบซ่อมบำรุงรถปีละสองครั้งรถจำนวนมากน่าจะเข้าศูนย์ไปสักครั้งแล้ว
ไม่ใช่ปล่อยมาแปดเดือนแล้วเพิ่งออกแพตช์, ระบบ OTA ก็ไม่มี
lewcpe.com, @wasonliw
ถ้าช่องโหว่นี้ควบคุมความเร็วรถและพวกมาลัยได้จริงไม่ควรจะเปิดเผยใหญ่เลยครับเพราะมันเกี่ยวข้องกับชีวิตคนจริงๆ เกิดโดนแกล้งให้รถเหยียบคันเร่งระหว่างที่ติดไฟแดงหายนะตามมาแน่นอน
canbus ไม่น่าควบคุมระบบสำคัญได้นะ ที่เคยใช้พวก ODBII มันก็อ่านค่าได้ แต่จะไปสั่งlimit หรือแก้ไขนี่ขึ้นกับ ECU เองมากกว่าที่จะยอมรับคำสั่งได้แค่ไหน
แต่BMW น่ากลัวตรงที่ระบบอย่าง cruise control มันสั่งผ่าน digital บนหน้าจอ idriveได้(ถ้าตัวเก่าเป็นanalog ผ่านปุ่มยังไม่น่ากลัวเท่า) หรือพวกสั่งstart เครื่องให้อุ่นเครื่องล่วงหน้า(เปิดheater) จริงๆมันก็สั่งผ่านremoteได้ตั้งแต่สิบปีที่แล้วด้วยซ้ำ