<요약>
- Privacy4Cars는 블루투스 프로토콜을 통한 인포테인먼트(information+entertianment) 해킹인 CarsBlues 공격에
많은 차들이 취약하다고 경고
- 공격방법 : 평범하게 쉽게 사용되는 하드웨어와 소프트웨어 만을 가지고 몇 분만에 해킹이 가능
- 취약점 : 휴대전화를 차량과 연동을 한 사용자의 개인정보가 노출될 수 있음.
수천 만대의 세계 자동차들이 이러한 취약점을 가지고 있으면, 그 수는 더 늘어날 것으로 추정.
- 취약점 발견 : 지난 2월 Privacy4Cars 설립자 Andrea Amico가 자사 앱을 개발하는 도중 발견.
발견 즉시 그는 사이버 보안에 관한 연구와 그 정보를 공유하기 위해 자동차업계가 설립한
정보공유센터 Automotive Information Sharing and Analysis Center(Auto-ISAC)에게 알림.
취약한 차량 회사들에게 휴대폰이 차량에 연결되어 있지 않은 상태에서 차량 주 혹은 운전자가 알지 못하게
공격자가 연락처, 전화 통화 내역, 문자 내역, 문자 메시지 전문 등을 어떻게 획득 할 수 있는지 공격 방법 공유함.
- 공격방법 등의 기술적인 문제점은 Auto-ISAC과 논의가 모두 끝난 상태.
- 현재는 운전자와 제조사를 대상으로 개인정보를 차량 시스템에 남겨두는 것이 얼마나 위험한지에 대한 교육을 하는데 중점을 둠 .
- 최소 제조사 2곳이 CarBlues 취약점에 대한 시스템 업데이트를 포함해 새로운 2019년 모델 출시 한 것으로 알려짐
- 대응방안 : 다른 사람이 자신의 차량을 사용할 일이 있을 때에는 반드시 개인정보 들을 인포테인먼트 시스템에서 지울 것.
* Privacy4Cars : 모바일 앱회사, 차량에서 개인 식별 정보(Personally identifiable information)을 삭제할 수 있도록 앱을 만드는 회사
*현대모비스는 Auto-ISAC의 멤버임
*Privacy4Cars는 데이터 삭제가 가장 효율적인 예방법이라고 하며 자신의 앱을 무료로 배포한다고 함
<영향성>
- 가장 취약한 사람은 본인의 차량이 아닌 차량에 휴대폰을 연동했던 사람
(렌트 후 차량 반납함, 카 쉐어링 서비스 사용, 중고로 차를 판매 등), 자신의 휴대폰을 연동했던 차량을 임시로 다른 사람이 접근 가능하도록 한 사람.(예, 자동차 딜러 서비스 센터, 수리 센터, P2P 교환, 발렛)
- 취약대상에 매우 넓음.
<참고자료>
출처: https://www.autorentalnews.com/319499/privacy4cars-discovers-bluetooth-enabled-vehicle-hack
https://www.securityweek.com/new-vehicle-hack-exposes-users%E2%80%99-private-data-bluetooth
'Vulnerability' 카테고리의 다른 글
| [2018.11.21] VMware vSphere Data Protection(VDP) 보안 업데이트 (VMSA-2018-0029) – 원격 코드 실행 취약점 (CVE-2018-11066) (0) | 2019.03.12 |
|---|---|
| [2018.11.21] Adobe Flash Player 패치 (CVE-2018-15981) (0) | 2019.03.12 |
| [2018.11.14] 윈도우 ALPC 취약점 패치 (0) | 2019.03.12 |
| [2018.11.14] 윈도우 zeroday 권한 상승 취약점 패치 (0) | 2019.03.12 |
| [2018.11.13] 윈도우 사용자 계정 컨트롤 우회 취약점 발견 (0) | 2019.03.08 |