หน้าแรก Internet of Things Connected Car CalAmp ตั้งค่าพลาด เปิดให้ใครก็ได้แก้ไขฐานข้อมูลเพื่อขโมยรถ

CalAmp ตั้งค่าพลาด เปิดให้ใครก็ได้แก้ไขฐานข้อมูลเพื่อขโมยรถ

แบ่งปัน

นักวิจัยด้านความปลอดภัยพบช่องโหว่บน CalAmp ซึ่งเป็นโซลูชั่น IoT ด้านระบบต่อต้านการจารกรรมรถยนต์ที่มีชื่อเสียง โดยช่องโหว่นี้เกิดจากการที่ CalAmp เองตั้งค่าผิดพลาด จนเปิดให้บุคคลภายนอกสามารถเข้าถึงและแก้ไขฐานข้อมูล โดยเฉพาะบัญชีผู้ใช้และข้อมูลรถยนต์ที่ผูกไว้

ช่องโหว่นี้ถูกพบโดยบังเอิญระหว่างหาสาเหตุของปัญหาบนระบบ Viper SmartStart ที่เปิดให้ผู้ใช้สตาร์ทรถ, ล็อก, ปลดล็อก, หรือหาตำแหน่งของรถตนเองได้จากสมาร์ทโฟน, สมาร์ทวอช, หรือริสแบนด์ได้ ซึ่งระบบนี้มีการเชื่อมต่อไปยังหน้าบริการ Lender Outlook ของ CalAmp.com ที่ให้บริษัทที่มีบัญชีผู้ใช้ของ SmartStart หลายบัญชีสำหรับรถหลายคันจัดการทีเดียวได้อย่างเป็นระบบ

Advertisement

ปัญหาคือ นักวิจัยสามารถนำรหัสผ่านของแอพ SmartStart มาใช้กับ CalAmp.com ได้ นั่นคือ ใครก็ตามก็สามารถใช้รหัสผ่านเดิมของ SmartStart ตนเองเข้าถึงระบบที่สามารถเปลี่ยนรหัสผ่านของบัญชีผู้ใช้ SmartStart รายอื่นได้ ซึ่งอาจนำไปสู่การบังคับหรือจารกรรมรถยนต์ของบัญชีนั้นๆ ได้ต่อไป

หลังจากนักวิจัยรายงานปัญหาไปยัง CalAmp เมื่อต้นเดือนที่ผ่านมา ทางบริษัทได้แก้บั๊กดังกล่าวได้สำเร็จภายใน 10 วันเท่านั้น นอกจากนี้ยังอัพเดทเว็บไซต์ของตนเองเพื่อเปิดให้นักวิจัยด้านความปลอดภัยสามารถรายงานช่องโหว่ที่พบบนผลิตภัณฑ์ของ CalAmp ได้สะดวกมากยิ่งขึ้นด้วย

ที่มา : Securityonline