Tags:
Node Thumbnail

ก่อนหน้านี้เราเห็นข่าวรถยนต์จากค่าย GM โดนแฮ็กมาแล้ว (อ่านได้จากบทความ มหากาพย์ GM กับการแก้ปัญหารถยนต์ถูกแฮกผ่านระบบ OnStar ที่ดำเนินมาเกือบ 5 ปี) คราวนี้มาดูรถญี่ปุ่นถูกแฮ็กกันบ้าง

นักวิจัยด้านความปลอดภัยสองคนค้นพบช่องโหว่ในรถยนต์ไฟฟ้า Nissan Leaf โดยเป็นการแฮ็กผ่าน API ของแอพใน iOS และ Android ส่งผลให้ใครก็ตามที่รู้เลขตัวถังรถยนต์ (VIN) สามารถเรียกดูข้อมูลต่างๆ ของรถคันนั้นได้ทันที ซึ่งเลขตัวถังก็โชว์หราอยู่หน้ากระจกเลยทีเดียว

No Description

หนึ่งในนักวิจัยเขียนลงบล็อกของตนว่าข้อมูลที่รั่วออกมามีหลายอย่าง เช่น ประวัติการขับขี่, วันเวลาของแต่ละเที่ยว, ระยะทางที่ขับ หรือแม้กระทั่งอัตราสิ้นเปลือง เมื่อเก็บข้อมูลดังกล่าวได้จำนวนหนึ่ง แฮ็กเกอร์ก็จะใช้ข้อมูลนี้ทำนายกิจวัตรของเจ้าของรถได้ ทำให้รู้ว่าผู้ขับจะไม่อยู่บ้านเวลาใด

การแฮ็กนี้ใช้คำสั่ง GET ธรรมดา และใส่เลขตัวถังเข้าไปใน URL จากนั้นก็ดักข้อมูลที่ส่งกลับมาจากเซิฟเวอร์ ซึ่งเป็น JSON ที่เปิดเผยข้อมูลทั้งหมด ในรูปด้านล่างเป็นสถานะแบตเตอรี่ที่เหลืออยู่

No Description

ตัวอย่างคำสั่งก็เช่น

GET https://[ไม่เปิดเผย].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21

แม้ช่องโหว่คราวนี้จะไม่ร้ายแรงเหมือนของ GM (อันนั้นควบคุมรถได้เลย) แต่ก็ถือว่าเป็นช่องโหว่ที่กระทบกับผู้ใช้ในวงกว้าง และล่าสุด Nissan ก็ได้หยุดการทำงานของแอพดังกล่าวไปแล้วครับ

ใครสนใจรายละเอียดแบบลึกๆ ก็ตามไปอ่านที่บล็อกของนักวิจัย

ที่มา - CSO Online

Get latest news from Blognone

Comments

By: lancaster
Contributor
on 25 February 2016 - 12:44 #887998

ช่องโหว่แบบนี้สมควรไล่ dev ออกมากๆ

By: notarry on 25 February 2016 - 16:19 #888075

url ที่ไม่เปิดเผยเป็น alias ของ nsa ป่าวครับ

By: -Rookies-
ContributorAndroidWindowsIn Love
on 26 February 2016 - 12:51 #888304

ทำไมเลขตัวถังมันหาดูง่ายจัง รถผมมันต้องรื้อเลยนะ


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: BlackMiracle
WriterAndroidUbuntuWindows
on 26 February 2016 - 13:20 #888319 Reply to:888304

รถ Ford ก็โชว์อยู่หน้ารถเหมือนกันครับ


Pitawat's Blog :: บล็อกผมเองครับ