การโจรกรรมเทเลเมติกส์ครั้งใหญ่ แคสเปอร์สกี้พบช่องโหว่คุกคามความปลอดภัยของรถยนต์

ในงาน Security Analyst Summit 2025 แคสเปอร์สกี้ได้นำเสนอผลการตรวจสอบความปลอดภัย ระบุถึงช่องโหว่ด้านความปลอดภัยสำคัญซึ่งทำให้เข้าถึงรถยนต์ที่เชื่อมต่อทั้งหมดของผู้ผลิตรถยนต์รายหนึ่งโดยไม่ได้รับอนุญาต

การใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ในแอปพลิเคชันของผู้รับเหมาที่เข้าถึงได้สาธารณะ ทำให้ผู้โจมตีสามารถควบคุมระบบเทเลเมติกส์ในรถยนต์ได้ ส่งผลให้ความปลอดภัยทางกายภาพของผู้ขับขี่และผู้โดยสารลดลง ตัวอย่างเช่น ผู้โจมตีสามารถบังคับเปลี่ยนเกียร์หรือดับเครื่องยนต์ขณะรถยนต์กำลังขับขี่ ผลการตรวจสอบนี้ชี้ให้เห็นจุดอ่อนด้านความปลอดภัยทางไซเบอร์ที่อาจเกิดขึ้นในอุตสาหกรรมยานยนต์ ซึ่งกระตุ้นให้เกิดการเรียกร้องให้มีมาตรการรักษาความปลอดภัยที่เข้มงวดยิ่งขึ้น

• ผู้ผลิตรถยนต์

การตรวจสอบความปลอดภัยดำเนินการจากระยะไกลและมุ่งเป้าไปที่บริการที่เข้าถึงได้สาธารณะของผู้ผลิตและโครงสร้างพื้นฐานของผู้รับเหมา แคสเปอร์สกี้ระบุบริการเว็บที่เปิดเผยหลายรายการ ทั้งผ่านช่องโหว่ SQL injection แบบซีโร่เดย์ ในแอปพลิเคชัน wiki (แพลตฟอร์มบนเว็บที่อนุญาตให้ผู้ใช้ร่วมสร้าง แก้ไข และจัดการเนื้อหา) นักวิจัยสามารถดึงรายชื่อผู้ใช้ฝั่งผู้รับเหมาพร้อมแฮชรหัสผ่าน ซึ่งบางรหัสผ่านก็คาดเดาได้ง่าย การละเมิดนี้ทำให้ผู้โจมตีสามารถเข้าถึงระบบติดตามปัญหาของผู้รับเหมา (เครื่องมือซอฟต์แวร์ที่ใช้จัดการและติดตามงาน บั๊ก หรือปัญหาภายในโครงการ) ซึ่งมีรายละเอียดการกำหนดค่าที่ละเอียดอ่อนเกี่ยวกับโครงสร้างพื้นฐานเทเลเมติกส์ของผู้ผลิต รวมถึงไฟล์ที่มีแฮชรหัสผ่านของผู้ใช้เซิร์ฟเวอร์เทเลเมติกส์ของรถยนต์คันใดคันหนึ่งของผู้ผลิต สำหรับรถยนต์สมัยใหม่ เทเลเมติกส์ช่วยให้สามารถรวบรวม ส่ง วิเคราะห์ และใช้งานข้อมูลต่างๆ จากรถยนต์ที่เชื่อมต่อได้ เช่น ข้อมูลความเร็ว ตำแหน่งทางภูมิศาสตร์ ฯลฯ

• รถยนต์ที่เชื่อมต่อ

ในส่วนของรถยนต์ที่เชื่อมต่อ (connected car) แคสเปอร์สกี้ค้นพบไฟร์วอลล์ที่กำหนดค่าไม่ถูกต้องซึ่งเปิดเผยเซิร์ฟเวอร์ภายใน นักวิจัยใช้รหัสผ่านบัญชีบริการที่ได้มาก่อนหน้านี้เพื่อเข้าถึงระบบไฟล์ของเซิร์ฟเวอร์และเปิดเผยข้อมูลประจำตัวของผู้รับเหมารายอื่น ทำให้สามารถควบคุมโครงสร้างพื้นฐานเทเลเมติกส์ได้อย่างสมบูรณ์ ที่น่าตกใจที่สุดคือ นักวิจัยได้ค้นพบคำสั่งอัปเดตเฟิร์มแวร์ที่อนุญาตให้อัปโหลดเฟิร์มแวร์ที่แก้ไขแล้วไปยังหน่วยควบคุมเทเลเมติกส์ (Telematics Control Unit - TCU) ซึ่งทำให้สามารถเข้าถึงเน็ตเวิร์กควบคุมพื้นที่ของรถยนต์ (Controller Area Network - CAN) ซึ่งเป็นระบบที่เชื่อมต่อส่วนต่างๆ ของรถยนต์ เช่น เครื่องยนต์และเซ็นเซอร์ หลังจากนี้ นักวิจัยยังสามารถเข้าถึงระบบอื่นๆ อีกมากมาย รวมถึงเครื่องยนต์ ระบบส่งกำลัง ฯลฯ ซึ่งทำให้สามารถจัดการฟังก์ชันสำคัญต่างๆ ของรถยนต์ได้ ซึ่งอาจเป็นอันตรายต่อความปลอดภัยของผู้ขับขี่และผู้โดยสาร

อาร์เทม ซิเนนโก หัวหน้าฝ่ายวิจัยและประเมินช่องโหว่ Kaspersky ICS CERT กล่าวว่า "ข้อบกพร่องด้านความปลอดภัยมีสาเหตุมาจากปัญหาที่พบได้บ่อยในอุตสาหกรรมยานยนต์ ได้แก่ บริการเว็บที่เข้าถึงได้โดยสาธารณะ รหัสผ่านที่คาดเดาได้ง่าย การขาดการยืนยันตัวตนแบบสองปัจจัย และการจัดเก็บข้อมูลสำคัญที่ไม่ได้เข้ารหัส การละเมิดนี้แสดงให้เห็นว่าจุดอ่อนเพียงจุดเดียวในโครงสร้างพื้นฐานของผู้รับเหมาสามารถส่งผลเสียต่อรถยนต์ที่เชื่อมต่ออินเทอร์เน็ตทั้งหมดได้ อุตสาหกรรมยานยนต์ต้องให้ความสำคัญกับแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่เข้มงวด โดยเฉพาะอย่างยิ่งสำหรับระบบของเธิร์ตปาร์ตี้ เพื่อปกป้องผู้ขับขี่และรักษาความไว้วางใจในเทคโนโลยีรถยนต์ที่เชื่อมต่ออินเทอร์เน็ต"

แคสเปอร์สกี้แนะนำให้ผู้รับเหมาจำกัดการเข้าถึงอินเทอร์เน็ตผ่าน VPN แยกบริการออกจากเครือข่ายองค์กร บังคับใช้นโยบายรหัสผ่านที่เข้มงวด ดำเนินการ 2FA เข้ารหัสข้อมูลสำคัญ และผสานรวมการบันทึกข้อมูลเข้ากับระบบ SIEM เพื่อการตรวจสอบแบบเรียลไทม์

สำหรับผู้ผลิตยานยนต์ แคสเปอร์สกี้แนะนำให้จำกัดการเข้าถึงแพลตฟอร์มเทเลเมติกส์จากเซ็กเมนต์เครือข่ายยานยนต์ ใช้รายการอนุญาตสำหรับการโต้ตอบเครือข่าย ปิดการใช้งานการตรวจสอบรหัสผ่าน SSH รันบริการด้วยสิทธิ์ขั้นต่ำ และรับรองความถูกต้องของคำสั่งใน TCU ควบคู่ไปกับการรวม SIEM