รถยนต์ Kia หลายล้านคันเสี่ยงต่อการถูกแฮ็กจากระยะไกลซึ่งน่าตกใจ
จากการเปิดเผยที่น่าสะเทือนขวัญ นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ร้ายแรงในระบบออนไลน์ของ Kia ซึ่งทำให้รถยนต์หลายล้านคันเสี่ยงต่อการถูกแฮ็กจากระยะไกล ซึ่งไม่ใช่แค่การเข้าถึงฟีเจอร์ที่ไม่สำคัญเพียงไม่กี่อย่างเท่านั้น ช่องโหว่ที่ค้นพบอาจทำให้แฮ็กเกอร์มีอำนาจในการควบคุมฟังก์ชันสำคัญของรถยนต์ได้ โดยทั้งหมดนี้ทำได้ด้วยขั้นตอนง่ายๆ เพียงไม่กี่ขั้นตอน
สารบัญ
การใช้ประโยชน์อันอันตราย
ลองนึกภาพดู: แฮกเกอร์อาจควบคุมรถของคุณได้ภายในเวลาไม่ถึง 30 วินาทีด้วยข้อมูลเพียงหมายเลขทะเบียนรถของคุณ ถือเป็นเรื่องน่าตกใจใช่หรือไม่? แซม เคอร์รี่ นักวิจัยด้านความปลอดภัยทางไซเบอร์และทีมผู้เชี่ยวชาญอีก 3 คน ค้นพบจุดบกพร่องที่น่ากังวลเหล่านี้ในพอร์ทัลเจ้าของรถ Kia ซึ่งเป็นระบบออนไลน์ที่เชื่อมต่อเจ้าของรถกับรถยนต์ของพวกเขา
ช่องโหว่ ดังกล่าวไม่เพียงแต่ทำให้สามารถควบคุมรถยนต์จากระยะไกลได้เท่านั้น แต่ยังเปิดเผยข้อมูลส่วนบุคคลอันล้ำค่าอีกด้วย โดยสามารถดึงข้อมูลรายละเอียดต่างๆ เช่น ชื่อเจ้าของรถ ที่อยู่ ที่อยู่อีเมล และหมายเลขโทรศัพท์ได้อย่างง่ายดาย นอกจากนี้ ที่น่าเป็นห่วงยิ่งกว่านั้นก็คือ ผู้โจมตีสามารถสร้างโปรไฟล์ผู้ใช้ที่สองโดยที่เจ้าของรถไม่รู้ตัว ซึ่งทำให้พวกเขาสามารถส่งคำสั่งไปยังรถยนต์ได้ เช่น ปลดล็อกประตูหรือแม้กระทั่งสตาร์ทเครื่องยนต์
การพังทลายทางเทคนิค
แล้วช่องโหว่เหล่านี้หลุดรอดเข้ามาได้อย่างไร? ตามที่ Curry กล่าว เว็บไซต์ของเจ้าของ Kia ไม่ใช่แค่พอร์ทัลสำหรับตรวจสอบข้อมูลรถยนต์เท่านั้น แต่ยังสามารถสั่งการจากอินเทอร์เน็ตไปยังรถยนต์ได้อีกด้วย ฟังก์ชันนี้สามารถทำได้ผ่านพร็อกซีแบบย้อนกลับของแบ็กเอนด์ที่ส่งคำสั่งเหล่านี้ไปยัง API ที่รับผิดชอบในการดำเนินการดังกล่าว
นอกจากนี้ โครงสร้างพื้นฐานของตัวแทนจำหน่าย Kia ยังก่อให้เกิดความเสี่ยงที่คล้ายคลึงกัน หลังจากลงทะเบียนบนเว็บไซต์ตัวแทนจำหน่ายแล้ว คำขอเดียวกันที่ใช้สำหรับการลงทะเบียนพอร์ทัลของเจ้าของ Kia ก็อาจถูกจัดการได้ นักวิจัยสามารถรับโทเค็นการเข้าถึงได้ ซึ่งทำให้พวกเขาสามารถเรียกใช้ API ของตัวแทนจำหน่ายแบ็กเอนด์ได้
พูดอย่างง่ายๆ ระบบจะมอบกุญแจสู่ราชอาณาจักรให้ โดยอาศัยช่องโหว่เหล่านี้ แฮกเกอร์สามารถดึงข้อมูลส่วนตัวที่ละเอียดอ่อนได้ และแม้แต่แทนที่ที่อยู่อีเมลของเจ้าของรถ ทำให้ตัวเองกลายเป็นเจ้าของบัญชีหลัก จากนั้น พวกเขาสามารถส่งคำสั่งไปยังรถยนต์ได้ ทั้งหมดนี้โดยที่เจ้าของรถไม่สงสัยอะไรเลย
ข้อบกพร่องในการเข้าถึงอย่างมหาศาล
ด้านที่น่ากังวลใจที่สุดประการหนึ่งของช่องโหว่นี้คือขอบเขตของมัน ทีมของ Curry สามารถสร้างแดชบอร์ดแนวคิดพิสูจน์ได้ ซึ่งช่วยให้พวกเขาสามารถพิมพ์ป้ายทะเบียน ดึงข้อมูลส่วนบุคคลของเจ้าของ และออกคำสั่งไปยังรถยนต์ได้ ตามคำกล่าวของ Curry รถยนต์ Kia รุ่นใดๆ ที่ผลิตหลังจากปี 2013 อาจมีความเสี่ยง
เมื่อถูกบุกรุกแล้ว แฮกเกอร์ก็สามารถติดตามรถ จัดการคุณสมบัติต่างๆ เช่น ปลดล็อกประตู บีบแตร หรือสตาร์ทเครื่องยนต์ ทั้งหมดนี้ทำได้จากแป้นพิมพ์เพียงอย่างเดียว
บางทีส่วนที่น่าตกใจที่สุดก็คือ จากมุมมองของเจ้าของ ไม่มีการแจ้งเตือนใดๆ ว่ามีคนเข้าถึงรถของตนหรือเปลี่ยนแปลงบัญชีของตน เป็นเพียงการเข้าควบคุมแบบเงียบๆ เท่านั้น
คำตอบของเกีย
โชคดีที่หลังจากมีการรายงานช่องโหว่ดังกล่าวต่อ Kia ในเดือนมิถุนายน 2024 ผู้ผลิตรถยนต์รายนี้จึงได้ดำเนินการแก้ไข ภายในกลางเดือนสิงหาคม บริษัทได้ดำเนินการแก้ไขเพื่อแก้ไขข้อบกพร่องและปกป้องรถยนต์ของตนจากการโจมตีจากระยะไกล แม้ว่าการแก้ไขดังกล่าวจะช่วยบรรเทาความกังวลของหลาย ๆ คน แต่ก็เป็นการเตือนใจอย่างชัดเจนว่ารถยนต์ของเราเชื่อมต่อกันมากขึ้นเพียงใด และมีความเสี่ยงต่อการโจมตีทางไซเบอร์มากเพียงใด
ขั้นต่อไปของความปลอดภัยของยานพาหนะคืออะไร?
เนื่องจากผู้ผลิตรถยนต์จำนวนมากขึ้นเรื่อยๆ ผสานเทคโนโลยีขั้นสูงและระบบอินเทอร์เน็ตเข้ากับรถยนต์ของตน ความเสี่ยงจากภัยคุกคามทางไซเบอร์จึงเพิ่มมากขึ้น เหตุการณ์ของ Kia ถือเป็นการเตือนสติและเน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งในรถยนต์สมัยใหม่ เมื่ออุตสาหกรรมรถยนต์พัฒนาไป โปรโตคอลด้านความปลอดภัยที่ออกแบบมาเพื่อปกป้องทั้งรถยนต์และผู้ขับขี่จากภัยคุกคามทางดิจิทัลก็ต้องพัฒนาตามไปด้วย
ตอนนี้ควรกระตุ้นให้ผู้ผลิตรถยนต์ โดยเฉพาะ Kia ตรวจสอบและอัปเดตมาตรการรักษาความปลอดภัยอยู่เสมอ เจ้าของรถควรคอยติดตามข่าวสาร อัปเดตข้อมูลทันที และตระหนักถึงข้อบกพร่องด้านความปลอดภัยที่อาจเกิดขึ้นได้ในยุคของรถยนต์ที่เชื่อมต่ออินเทอร์เน็ต
อนาคตดิจิทัลของรถยนต์นั้นน่าตื่นเต้น แต่ก็มีความเสี่ยงมากมายเช่นกัน โดยต้องได้รับความเอาใจใส่เป็นอย่างดีเพื่อให้ทุกคนบนท้องถนนปลอดภัยจากภัยคุกคามทั้งทางกายภาพและดิจิทัล