2 백만 명의 프로그레시브 스냅 샷 고객이 자동차 해킹의 위험에 처할 수 있음

이스라엘 사이버 보안 연구원이 자동차의 진단 포트에 꽂는 장치를 해킹하여 전 세계 어디에서나 차량을 원격으로 제어 할 수 있다고 결정한 것은 불과 두 달 전이었습니다. 당시 모의 공격은 탄광에서 카나리아의 자동차 버전처럼 보였다. 연구자가이 하나의 장치를 위반 할 수 있다면,진단 포트에 연결 아마도 다른 애프터 마켓 제품은 취약했다?
짧은 순서로,또 다른 사이버 보안 회사는 이제 2 백만 명 이상의 자동차 운전자가 사용하는 장치에 심각한 결함을 발견보고합니다.
플로리다에 본사를 둔 디지털 본드 연구소의 연구자들은 진보적 인 보험이 참여 고객의 운전 습관을 측정하는 데 사용하는 장치의 주요 문제를 발견했다고 말한다. 동글을 리버스 엔지니어링함으로써 조향,제동 및 스로틀 입력과 같은 중요한 차량 기능을 제어 할 수있는 네트워크에 액세스 할 수있었습니다.

“이 장치로 우리가 발견한 것은 보안 기능 없이 설계되었다는 것입니다.” “그것은 심지어 기본적인 보안 코딩 관행을 기반으로하지 않았습니다. … 그것은 어떤 문이없는 집입니다,아니 창문없이 울타리,내부 귀중품.”
피터슨은 동글의 보안에 약점을 악용 연구자의 경우 아니었다 강조;그것은 단순히 보안이 존재하지 않는 것이 었습니다.
장치 기록 드라이버 데이터
프로그레시브 2008 년부터 주변 되었습니다 스냅샷 사용 기반 보험 프로그램의 일환으로 이러한 장치를 사용 합니다. 동글은 주행 거리,주행 시간,운전자가 얼마나 열심히 브레이크를 밟는 지에 대한 데이터를 수집합니다. 이 드라이버 데이터에 대한 대가로,신중한 드라이버는 보험료 떨어져 큰 30%할인을받을 수 있습니다.
회사 대변인은 프로그레시브는이 연구를 아직 보지 못했으며 혐의를 조사하고 있다고 말했다.
“우리는 우리의 스냅 샷 장치의 성능에 확신,”진보적 인 대변인은 서면 성명에서 말했다. “명확하게하기 위해,연구원은 차량의 기능을 제어 할 수 없습니다 우리는 다른 사람이 그렇게 할 수 있었다 증거가 없습니다. 그러나,우리는 매우 심각하게 보안을 철저하게 문제를 조사 할 계획입니다.”
증가하는 자동차 사이버 우려
사이버 위협은 자동차 제조업체들 사이에서 업계 전반의 관심사가되었습니다. 그들은 본질적으로 해커가 자동차 장소에 넣어 어떤 보안을 회피 할 수 있기 때문에 업계 분석가들은 점점 자동차 자체보다 더 사악한 문제로 이러한 타사 장치에 대한 공격을 참조하십시오.
처음 다크 리딩에 의해 보도 된 바와 같이,디지털 본드 연구소 연구원 코리 투엔은 진보 동글이 차량의 로컬 네트워크에 연결되면,그것은 진보에 다시 정보를 전달하는 셀룰러 네트워크에 인증하지 않으며,그 메시지를 암호화하지 않는 것을 발견했다. 그는 또한”펌웨어는 서명되거나 검증되지 않았으며 보안 부팅 기능이 없습니다. 또한,이 장치는 악명 높은 보안되지 않은 프로토콜을 사용합니다.”
스냅 샷 동글은 에어백 배치에서 엔진에 이르기까지 수십 개의 차량 기능을 제어하는 전자 제어 장치를 수용하는 동일한 네트워크에 액세스 할 수 있습니다. 이 네트워크 내부되면,해커는 운전자의 입력을 무시하고 차량을 제어 이러한 에쿠스에 악성 코드를 보낼 수 있습니다.
“누군가가 프로그레시브 클라우드를 해킹하면,그들은 이것을 가진 모든 차에 갈 수있다”고 피터슨은 말했다. “그들은이 동글에 물건을 보내고 잠재적으로 정말 나쁜 일을 할 수 있습니다.”
11 월,이스라엘 기반의 아르고스 사이버 보안 연구자들은 이러한 타사 장치 중 하나의 해킹에 대한 정보를 발표했다. 그들은 주비,여행 정보,자동차 성능 및 드라이버 행동과 드라이버를 제공하는 동글의 취약점을 악용 주장했다.
일단 안으로 들어가면,아르고스 연구자들은 문을 열고 계기집단 판독값을 조작했다. 그들은 또한 원격 위치에서 차량의 엔진,브레이크 및 스티어링 구성 요소를 제어 할 수 있었다 말한다.
“사물의 인터넷에서,이것은 당신이 일반적으로 그들을 가지고 있지 않은 것들에 통신 기능을 추가 할 때 일어나는 일의 또 다른 예입니다,”피터슨은 말했다. “문제는 보안 통제없이 추가 될 때입니다.”

답글 남기기

이메일 주소는 공개되지 않습니다.