보안 연구원들이 일부 Skoda 자동차에 사용되는 인포테인먼트 장치에서 악의적인 행위자가 원격으로 특정 제어를 실행하고 자동차 위치를 실시간으로 추적할 수 있는 여러 가지 취약점을 발견했습니다. 자동차 부문을 전문으로 하는 사이버 보안 회사인 PC Automotive는 이번 주 Black Hat Europe 컨퍼런스에서 Skoda의 Superb III 세단 최신 모델에 영향을 미치는 12개의 새로운 보안 취약점을 발표했습니다. 작년에 이 그룹은 동일한 차량 모델에 영향을 미치는 9개의 다른 취약점을 발표했습니다. 스코다(Skoda)는 독일의 자동차 대기업인 폭스바겐(Volkswagen)이 소유한 자동차 브랜드입니다.
PC Automotive의 보안 평가 책임자인 Danila Parnishchev는 해커들이 이러한 취약점을 결합하여 이를 악용하여 자동차에 악성 코드를 주입할 수 있다고 말했습니다. 이 취약점을 악용하려면 공격자가 블루투스를 통해 Skoda Superb III의 미디어 장치에 연결해야 하지만 그는 "공격은 10미터 범위 내에서 수행될 수 있으며 인증이 필요하지 않습니다"라고 말했습니다.
이 취약점은 자동차의 MIB3 인포테인먼트 장치에서 발견되었으며, 이로 인해 공격자는 장치가 시작될 때마다 무제한 코드를 실행하고 악성 코드를 실행할 수 있었습니다. PCAutomotive에 따르면 이를 통해 공격자는 실시간 차량 GPS 좌표 및 속도 데이터를 획득하고, 차량 마이크를 통해 대화를 녹음하고, 인포테인먼트 디스플레이의 스크린샷을 찍고, 차량 내에서 임의의 소리를 재생할 수 있습니다.
PCAutomotive는 Superb III에서 이러한 결함을 확인했으며 소유자가 자동차와의 연락처 동기화를 활성화한 경우 공격자가 소유자의 휴대폰 연락처 데이터베이스를 훔치는 것도 가능합니다.
Parnishchev는 "일반적으로 휴대폰은 암호화되어 있어 연락처 데이터베이스를 쉽게 추출할 수 없으며 인포테인먼트 장치의 연락처 데이터베이스는 일반적으로 일반 텍스트로 저장됩니다"라고 말했습니다.
Parnishchev는 스티어링 휠, 브레이크, 가속 페달과 같은 안전에 중요한 자동차 제어 장치에 대한 액세스에 대한 차량 내 네트워크 게이트웨이의 제한을 우회할 수 있는 방법을 찾지 못했다고 지적했습니다.
PCAutomotive는 취약한 MIB3 장치가 폭스바겐과 스코다의 여러 모델에 사용된다는 목요일 발표 연구 노트에 앞서 보고서를 공유했으며, 공개 판매 데이터를 기준으로 취약한 차량의 수가 140만 대를 초과할 수 있다고 추정했습니다.
애프터마켓을 고려하면 취약한 차량의 수가 훨씬 더 많을 가능성이 높습니다. "eBay에서 부품 번호를 검색하면 찾을 수 있습니다."라고 그는 설명했습니다. "이전 사용자가 삭제하지 않은 경우 연락처 데이터베이스는 그대로 유지됩니다."
폭스바겐(Volkswagen)은 회사의 사이버 보안 공개 프로그램을 통해 취약점이 보고된 후 이를 패치했습니다.
Skoda 대변인 Tom Drechsler는 이메일 성명을 통해 "인포테인먼트 시스템에서 보고된 취약점은 제품 수명 주기의 지속적인 개선 관리를 통해 해결되고 제거되고 있습니다. 고객이나 차량의 안전에 대한 위협은 한 번도 없었습니다."라고 말했습니다.