Nissan Leaf อาจเสี่ยงถูกโจมตีได้โดยง่าย
Nissan Leaf อาจเสี่ยงถูกโจมตีได้โดยง่าย
เมื่อไม่นานมานี้ได้มีการค้นพบจุดอ่อนในระบบ API (Application Program Interfaces) หรือระบบเชื่อมต่อโปรแกรมของรถยนต์ Nissan ซึ่งอาจจะทำให้เจ้าของรถอาจมีความเสี่ยงที่จะถูกโจมตีได้จากที่ใดก็ได้ทั่วโลก
โดยจุดอ่อนนี้จะทำให้ใครก็ตามที่มีหมายเลขประจำตัวรถสำหรับรุ่น Leaf สามารถเข้าถึงระบบควบคุมสภาพแวดล้อม (climate control) และบันทึกล่าสุดของการเดินทางของรถยนต์คันนี้ได้
ต้นเหตุของปัญหามาจากระบบ API ที่ทาง Nissan ใช้สำหรับการเชื่อมต่อกับแอพของ iOS และ Android ซึ่งจะช่วยให้เจ้าของรถสามารถตรวจสอบสถานะของแบตเตอร์รี่ ตรวจสอบว่าจะขับได้อีกไกลไหม และสั่งเปิดปิดระบบควบคุมสภาพแวดล้อมในรถ ตามที่นักวิจัยด้านความปลอดภัยของ Troy Hunt ได้ระบุไว้
สร้างระบบโดยปราศจากมาตรการความปลอดภัย
ระบบ API ที่ใช้โดยแอพนั้นจะเป็นระบบเปิดที่ไม่มีการตรวจสอบตัวตนของการเข้าถึง เป็นผลให้ผู้ไม่หวังดีสามารถเข้าถึงระบบต่างๆเหล่านั้นตราบใดที่เขาสามารถเชื่อมต่อกับอินเตอร์เน็ตได้
นักวิจัยอีกท่านที่ทำงานร่วมกับ Hunt ในการตรวจสอบช่องโหว่กล่าวว่า ระบบ API นั้นสุดแย่ ไม่เพียงแค่มันไม่พลาดไม่ตรวจสอบตัวตนผู้เข้าถึงระบบเท่านั้น แต่นี่ไม่มีระบบอะไรเลย เหมือนถูกสร้างขึ้นมาอย่างตั้งใจว่าปราศจากความปลอดภัยใดๆ
Hunt กล่าวว่า เขาได้ลองพยายามให้ทาง Nissan ได้แก้ปัญหานี้แต่จนถึงตอนนี้ก็ยังไม่มีการอัพเดทซอฟท์แวร์อะไรเพิ่มเติมเลย ซึ่งเป็นที่แน่ชัดว่าคำตอบก็คือต้องมีการติดตั้งระบบตรวจสอบการเรียกใช้งาน API ซึ่งตอนที่เริ่มสร้างแอพตอนแรกนั้นจะต้องมีการใส่เรื่องแบบนี้เข้าไป
ความปลอดภัยเป็นเรื่องมาคิดทีหลัง
แม้ว่าถึงตอนนี้ทางผู้ผลิตรถยนต์คันนี้จะยังไม่ได้หาวิธีแก้ไขปัญหานี้ก็ตาม แต่ Hunt ก็รู้สึกยินดีที่ทางบริษ้ท Nissan ได้ตอบสนองต่อการค้นพบของเขาแล้ว เขากล่าวว่าเป็นการง่ายสำหรับเขาที่จะเข้าถึงบุคคลที่จำเป็นและให้เวลาเขาในการพูดคุยถึงปัญหาที่เกิดขึ้น อย่างไรก็ตามความรุนแรงของปัญหาและความง่ายในการที่จะโจมตีนั้นทำให้ปัญญานี้เป็นเรื่องใหญ่ ทาง Nissan ต้องแก้ปัญหานี้โดยเร็ว ซึ่ง Hunt ได้ระบุไว้ในบทความบนบล้อคของเขา
แม้ว่าจุดอ่อนนี้ไม่ถึงกับทำให้ผู้ไม่หวังดีเข้าควบคุมระบบการขับขี่ได้ แต่ถ้าออกมาในแนวนี้คงไม่ค่อยดีเท่าไหร่ เขากล่าวต่อว่า บริษัทรถยนต์ต่างพยายามหาลูกเล่นมาใส่รถยนต์เพราะการเข้ามาของ Internet of Things จนทำให้ละเลยเรื่องความปลอดภัยไป
จนกว่าทางบริษัทจะแก้ไขปัญหานี้ได้ ผู้ที่ซื้อรถรุ่น Nissan Leaf อาจจะทำได้แค่ปลดระบบลงทะเบียนของแอพนี้ออกไปก่อน (Unregister) แม้ว่าผู้ไม่หวังดีอาจจะทำอะไรไม่ได้มาก แต่ก็สามารถเรียนรู้เส้นทางการขับขี่ แล้วแอบปล่อยประจุแบตเตอร์รี่ขณะที่รถจอดอยู่โดยการเปิดระบบทำความร้อน แล้วจะทำให้เจ้าของรถหมดทางไปเอาได้
ที่มา http://sci-tech-today.com/story.xhtml?story_id=120008XPA6BC
Leave a comment
You must be logged in to post a comment.