01/28/2023

รถยนต์หลายล้านคันจาก 16 แบรนด์ช้ันนำ เตรียมพบความเสี่ยงถึงขั้นโดนแฮก จากช่วงโหว่ด้าน API ของผู้ผลิต

ทีมนักวิจัยที่นำโดย Sam Curry ได้รายงานพบช่องโหว่ด้านความปลอดภัยของ API ซึ่งอาจทำให้แฮกเกอร์สามารถทำเข้าถึงระบบที่มีความอ่อนไหวและมีความเสี่ยงในรถยนต์ ตั้งแต่การปลดล็อก สตาร์ทรถ ติดตามรถยนต์ ไปจนถึงการเข้าถึงและขโมยข้อมูลส่วนบุคคลของเจ้าของ

โดยแบรนด์รถหรูที่ได้รับผลกระทบนั้นมีทั้ง BMW, Roll Royce, Mercedes-Benz, Ferrari, Porsche, Jaguar, Land Rover, Ford, KIA, Honda, Infiniti, Nissan, Acura, Hyundai, Toyota และ Genesis

ตัวอย่างข้อบกพร่องของ API ที่รุนแรงที่สุดใน BMW และ Mercedes-Benz ซึ่งได้รับผลกระทบจากช่องโหว่ SSO (single-sign-on) ทั่วทั้งบริษัท ซึ่งทำให้แฮกเกอร์สามารถเข้าถึงระบบภายในได้

สำหรับ Mercedes-Benz นักวิเคราะห์สามารถเข้าถึงอินสแตนซ์ GitHub ส่วนตัวหลายรายการ ช่องทางการแชทภายใน Mattermost, เซิร์ฟเวอร์, Jenkins และ AWS instances, ระบบ XENTRY ที่เชื่อมต่อกับรถยนต์ของลูกค้า และอื่นๆ

ส่วน BMW นักวิจัยสามารถเข้าถึงพอร์ทัลตัวแทนจำหน่ายภายใน ค้นหา VIN ของรถทุกคัน และเรียกค้นเอกสารการขายที่มีรายละเอียดเจ้าของที่ละเอียดอ่อนได้

นอกจากนี้ พวกเขายังสามารถใช้ประโยชน์จากข้อบกพร่องของ SSO เพื่อเข้าสู่ระบบในฐานะพนักงานหรือตัวแทนจำหน่าย และเข้าถึงแอปพลิเคชันที่สงวนไว้สำหรับใช้ภายในได้อีกด้วย

การใช้ประโยชน์จากข้อบกพร่อง API อื่นๆ ทำให้นักวิจัยสามารถเข้าถึงข้อมูล PII (ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้) สำหรับเจ้าของรถยนต์ KIA, Honda, Infiniti, Nissan, Acura, Mercedes-Benz, Hyundai, Genesis, BMW, Roll Royce, Ferrari, Ford, Porsche และ Toyota

ซึ่งในกรณีของรถยนต์ที่มีราคาแพงมาก การเปิดเผยข้อมูลเจ้าของนั้นเป็นอันตรายอย่างยิ่ง เนื่องจากในบางกรณี ข้อมูลดังกล่าวรวมถึงข้อมูลการขาย และที่อยู่ของลูกค้า

Ferrari ได้รับความเดือดร้อนจากการใช้งาน SSO บน CMS ที่ไม่ดี การเปิดเผยเส้นทาง API แบ็กเอนด์ และทำให้สามารถดึงข้อมูลรับรองจากข้อมูลโค้ด JavaScript ได้ ทำให้แฮกเกอร์สามารถใช้ข้อบกพร่องเหล่านี้เพื่อเข้าถึง แก้ไข หรือลบบัญชีลูกค้าของ Ferrari จัดการโปรไฟล์รถของพวกเขา หรือตั้งตนเป็นเจ้าของรถได้

ช่องโหว่เหล่านี้อาจทำให้แฮกเกอร์สามารถติดตามรถได้แบบเรียลไทม์ ทำให้เกิดความเสี่ยงทางกายภาพและส่งผลกระทบต่อความเป็นส่วนตัวของเจ้าของรถหลายล้านคน

แนวทางการป้องกันตัวเองของเจ้าของรถ

อย่างไรก็ตาม เจ้าของรถสามารถป้องกันตนเองจากช่องโหว่ประเภทนี้ได้โดยการจำกัดจำนวนข้อมูลส่วนบุคคลที่จัดเก็บไว้ในยานพาหนะหรือแอปพลิเคชันบนอุปกรกรณืโมบาย

สิ่งสำคัญคือต้องตั้งค่าระบบเทเลเมติกส์ในรถยนต์ให้เป็นโหมดส่วนตัวมากที่สุดเท่าที่สามารถทำได้ และอ่านนโยบายความเป็นส่วนตัวเพื่อทำความเข้าใจว่าข้อมูลถูกใช้อย่างไร

เมื่อซื้อรถมือสอง ตรวจสอบให้แน่ใจว่าได้ลบบัญชีของเจ้าของเดิมแล้ว ตั้งรหัสผ่านที่มีความรัดกุมและตั้งค่าการยืนยันตัวตนแบบ 2 ชั้น

ที่มา : bleepingcomputer