Tags:
Node Thumbnail

กลุ่ม Pen Test Partners ซื้อรถ Mitsubishi Outlander มาทดสอบความปลอดภัยและพบว่ายังมีปัญหาความปลอดภัยหลายอย่าง ปัญหาสำคัญที่สุดคือแฮกเกอร์สามารถปลดล็อกประตูรถได้โดยง่าย

Outlander ไม่ได้เชื่อมต่ออินเทอร์เน็ตโดยตรงแต่เปิดให้เจ้าของรถ "จับคู่" ตัวรถกับอุปกรณ์โมบายได้ โดยที่ตัวรถจะทำตัวเป็น access point ในตัว ทีมงานพบว่ากุญแจที่ใช้สำหรับเชื่อมต่อ Wi-Fi นั้นมีรูปแบบที่คาดเดาได้ง่าย ทีมงานสามารถใช้การ์ดกราฟิก 4 ใบกวาดหารหัสผ่านที่ถูกต้องได้ในเวลา 4 วัน และเมื่อเชื่อมต่อเข้าไปแล้วหากเข้าใจโปรโตคอลไบนารีของรถรุ่นนี้ก็จะสามารถควบคุมไฟ, เครื่องปรับอากาศ, รวมถึงล็อกหรือปลดล็อกประตูได้

นอกจากความปลอดภัยในแง่การบุกรุกตัวรถแล้ว ค่า SSID ของรถยังตั้งไว้ในรูปแบบที่คาดเดาได้ง่าย ทีมงานสามารถสาธิตการติดตามตำแหน่งของตัวรถผ่านเว็บไซต์ wigle.net ที่เปิดให้คนช่วยกันรายงาน SSID ทั่วโลกได้ข้อมูลรถจำนวนมาก อย่างไรก็ดีค่า SSID สามารถปรับค่าเองได้

ทาง Mitsubishi ชี้แจงการแฮกครั้งนี้ว่ากำลังอยู่ระหว่างการพูดคุยถึงผลกระทบ และยืนยันว่าไม่กระทบถึงระบบสตาร์ตรถ อย่างไรก็ดีทางบริษัทแนะนำให้ลูกค้าปิดการใช้งาน Wi-Fi ในรถไปก่อนด้วยการสั่ง เมื่อสั่งปิดการทำงานแล้ว จะไม่สามารถเปิดจากระยะไกลได้อีก

ช่องโหว่นี้แม้จะร้ายแรงระดับที่ปลดล็อกประตูรถได้ แต่เมื่อนับกรณีรถ GM ที่สามารถปิดระบบเบรก หรือ Nissan Leaf ที่สามารถดูข้อมูลได้จากระยะไกล ความร้ายแรงของช่องโหว่ครั้งนี้ก็ยังเรียกได้ว่า "ไม่แรงกว่า" กรณีก่อนๆ แต่หลังจากนี้อาจจะต้องบอกค่ายผู้ผลิตรถยนต์ว่าถ้าจะทำฟีเจอร์ใหม่ๆ ใส่รถก็ควรหาที่ปรึกษาด้านความปลอดภัยมาตรวจสอบระบบให้เรียบร้อยก่อนออกจำหน่าย

ที่มา - Pen Test Partners, The Register

Get latest news from Blognone