요약
- 영국 기반 모의해킹/사이버 보안 회사 Pen Test Partner는 Pandora와 Viper 사 제작 차량 알람 시스템이 해킹에 취약하다고 분석 보고서 발표.
- 차량 알람 시스템 : 차량과 스마트키 간의 메시지 전달 방식을 이용한 공격에 대한 예방책으로 사용 되고 있음.
또한 차량 소유주는 앱을 이용해 차량의 위치 검색, 원격 시동 걸기/끄기, 차량 잠금 장치 열기/닫기가 가능함.
- 차량 알람 시스템 안전성 : Pandora사는 자사 시스템이 해킹이 불가능하다며(unhackable) 광고 중
- 취약점 : 모바일 앱 API의 불안전한 직접 사용에 존재하는 직접 객체 참조(direct object reference) 취약점 존재.
해당 취약점을 이용해 공격자는 요청값의 파라미터를 조작하는 것만으로도 다른 사용자의 계정에 접근이 가능함
(1) 공통 취약점 : Pandora와 Viper사의 차량 알람 시스템 모두 해킹을 통해 운행 중인 차량 엔진 컨드롤이 가능함
(Viper사의 앱만 테스트에서 엔진 가동 중지에 성공 함)
(2) Pandora앱 : 긴급 구조 요청 전화 시 마이크 접근이 허용되는데, 취약점 공격을 통해 운전자의 대화를 엿들을 수도 있음.
- 공격 재현 :
(1) 공격자는 모바일 앱 사용자 계정 비밀번호, 이메일 주소를 변경하는 악성 요청값을 보내 비밀번호를 재설정 할 수 있었으며,
따라서 계정 권한을 탈취하는데 성공
(2) 계정 권한을 탈취 후에는 다양한 악성 행위가 가능 함
º 차량 정보 획득 : 차량 정보 획득이 가능해 고급 차량만을 대상으로 한 절도 시 활용될 소지 있음
º 실시간 차량 위치 확인 가능
- 공격 시나리오
(1) 공격자는 목표 차량의 실시간 위치를 확인하고 차량을 미행.
(2) 목표 차량이 운행 중일 때, 차량 알람 시스템을 작동하게 해, 운전자가 차량을 정지시키도록 유도.
(3) 해킹한 앱을 이용해 차량 도난방지 시스템을 가동해 차량 운행이 불가하게 만들고, 차량 문을 열고 차량 절도.
- 대응방안 : 현재 두 개의 앱은 패치를 이미 발표함.
*Pen Test Partner는 몇 해전 모바일 앱 해킹을 통해 미쓰비시 아웃랜더 플러그인 하이브리드(PHEV) 차량의 일부 기능을 원격으로 조정할 수 있는 취약점을 발표한 바 있음
(https://www.securityweek.com/researchers-hack-mitsubishi-outlander-phev)
영향성
차량 알람 시스템은 대부분 고가 차량에 사용되고 있어, 취약점 분석 발표는 큰 이슈가 되고 있음
참고자료
Pen Test Partners 취약점 분석 원분 : https://www.pentestpartners.com/security-blog/gone-in-six-seconds-exploiting-car-alarms
출처 : https://www.securityweek.com/flaws-smart-alarms-exposed-millions-cars-dangerous-hacking