นักวิจัยด้านความปลอดภัยจากบริษัท Rapid7 พบช่องโหว่ในแอพฯ Blue Link ของ Hyundai ทำให้ผู้ประสงค์ร้ายสามารถสตาร์ทรถจากที่ไหนก็ได้ในโลก
Hyundai
แอพ Blue Link นั้นเป็นแอพสำหรับรถยนต์ฮุนไดย์ที่ให้ผู้ใช้งานล็อกรถ ปลดล็อกประตู เปิด/ปิดแอร์ หรือแม้กระทั่งสตาร์ทรถยนต์เองได้ นักวิจัยพบช่องโหว่ในแอพเวอร์ชัน 3.9.4 เมื่อวันที่ 8 ธันวาคม 2016 ที่ผ่านมา เนื่องจากการสื่อสารกับเซิฟเวอร์ไม่ปลอดภัย ทำให้ Username และ Password อาจจะถูกดักข้อมูลและขโมยไปได้
ตัวแอพ Blue Link นั้นจะอัพโหลดข้อมูลของผู้ใช้งานไปยังเซิฟเวอร์ที่ใช้โปรโตคอล HTTP โดยข้อมูลจะมีทั้งส่วนที่เข้ารหัสและไม่ได้เข้ารหัสปนๆ กันไป สิ่งที่ไม่ดีนักก็คือกุญแจถอดรหัสคือ “1986l12Ov09e” และผู้ใช้งานไม่สามารถเปลี่ยนแปลงข้อมูลนี้ได้ ถ้าหากผู้ประสงค์ร้ายดักข้อมูลแล้วนำไปถอดรหัสด้วยกุญแจดังกล่าว ก็จะพบข้อมูล Username / Password ได้ไม่ยากนัก ซึ่งเรื่องดังกล่าวไม่ได้ยากจนเกินไป เพราะถ้าหากดักข้อมูลผ่าน WiFi ก็สามารถได้ข้อมูลทั้งหมดในเวลาไม่กี่นาทีเท่านั้น ซึ่งข้อมูลเหล่านี้เพียงพอที่จะทำให้ผู้ไม่หวังดีสตาร์ทรถ หรือล็อกประตูได้ (แต่ต้องเป็นรถฮุนไดย์ที่ขายมาตั้งแต่ปี 2012 ขึ้นไป)
แม้ว่าช่องโหว่นี้จะไม่สามารถโจมตีใครก็ได้โดยตรงเนื่องจากต้องดักข้อมูลเสียก่อน แต่การดักข้อมูลนั้นก็ทำได้ง่ายมากๆ เพียงไปติดตั้งเสาสัญญาณ WiFi ปลอมๆ ที่ดักข้อมูลที่ใช้แถวๆ รถยนต์ จากนั้นก็รอเหยื่อมาต่อสัญญาณ WiFi ดังกล่าวก็สามารถเก็บข้อมูลที่ต้องการไปได้แทบจะทันที
หลังจากฮุนไดย์ ได้รับการแจ้งเตือนจากนักวิจัยด้านความปลอดภัย ก็ได้อุดช่องโหว่ดังกล่าวในเวอร์ชัน 3.9.6 และลบการส่งข้อมูลบันทึกกลับไปยังเซิฟเวอร์ หลังจากนั้นฮุนไดย์ ได้อธิบายในถ้อยแถลงอย่างเป็นทางการว่าช่องโหว่ดังกล่าวถูกอุดภายในสามวันหลังจากมีการแจ้งเข้ามาก่อนจะมีการนำช่องโหว่ดังกล่าวไปใช้จริง โดยทางบริษัทให้ความสำคัญกับความปลอดภัยและความเป็นส่วนตัวของลูกค้าเสมอมา และหวังจะปรับปรุงความปลอดภัยและแอพบนมือถือไปพร้อมๆ กัน
ที่มา – Tom’s Hardware