รถยนต์ Nissan Leaf โดนแฮ็ก เปิดเผยข้อมูลของรถคันไหนก็ได้ในโลก

         ก่อนหน้านี้เราเห็นข่าวรถยนต์จากค่าย GM โดนแฮ็กมาแล้ว (อ่านได้จากบทความ มหากาพย์ GM กับการแก้ปัญหารถยนต์ถูกแฮกผ่านระบบ OnStar ที่ดำเนินมาเกือบ 5 ปี) คราวนี้มาดูรถญี่ปุ่นถูกแฮ็กกันบ้าง

         นักวิจัยด้านความปลอดภัยสองคนค้นพบช่องโหว่ในรถยนต์ไฟฟ้า Nissan Leaf โดยเป็นการแฮ็กผ่าน API ของแอพใน iOS และ Android ส่งผลให้ใครก็ตามที่รู้เลขตัวถังรถยนต์ (VIN) สามารถเรียกดูข้อมูลต่างๆ ของรถคันนั้นได้ทันที ซึ่งเลขตัวถังก็โชว์หราอยู่หน้ากระจกเลยทีเดียว

         หนึ่งในนักวิจัยเขียนลงบล็อกของตนว่าข้อมูลที่รั่วออกมามีหลายอย่าง เช่น ประวัติการขับขี่, วันเวลาของแต่ละเที่ยว, ระยะทางที่ขับ หรือแม้กระทั่งอัตราสิ้นเปลือง เมื่อเก็บข้อมูลดังกล่าวได้จำนวนหนึ่ง แฮ็กเกอร์ก็จะใช้ข้อมูลนี้ทำนายกิจวัตรของเจ้าของรถได้ ทำให้รู้ว่าผู้ขับจะไม่อยู่บ้านเวลาใด

         การแฮ็กนี้ใช้คำสั่ง GET ธรรมดา และใส่เลขตัวถังเข้าไปใน URL จากนั้นก็ดักข้อมูลที่ส่งกลับมาจากเซิฟเวอร์ ซึ่งเป็น JSON ที่เปิดเผยข้อมูลทั้งหมด ในรูปด้านล่างเป็นสถานะแบตเตอรี่ที่เหลืออยู่

ตัวอย่างคำสั่งก็เช่น

GET https://[ไม่เปิดเผย].com/orchestration_1111/gdc/BatteryStatusRecordsRequest.php?RegionCode=NE&lg=no-NO&DCMID=&VIN=SJNFAAZE0U60XXXXX&tz=Europe/Paris&TimeFrom=2014-09-27T09:15:21

         แม้ช่องโหว่คราวนี้จะไม่ร้ายแรงเหมือนของ GM (อันนั้นควบคุมรถได้เลย) แต่ก็ถือว่าเป็นช่องโหว่ที่กระทบกับผู้ใช้ในวงกว้าง และล่าสุด Nissan ก็ได้หยุดการทำงานของแอพดังกล่าวไปแล้วครับ

ใครสนใจรายละเอียดแบบลึกๆ ก็ตามไปอ่านที่บล็อกของนักวิจัย

ที่มา - CSO Online

ขอบคุณเนื้อหา และภาพประกอบ
บทความโดย: BlackMiracle