2023-02-06 01:45 (월)
페라리, 메르세데스, BMW, 포르쉐 등 자동차 제조업체에서 치명적 보안결함 발견돼
상태바
페라리, 메르세데스, BMW, 포르쉐 등 자동차 제조업체에서 치명적 보안결함 발견돼
  • hsk 기자
  • 승인 2023.01.05 15:47
이 기사를 공유합니다

본 이미지는 해당 기사 내용과 무관.

사이버 보안 연구원 샘 커리와 동료 연구원들이 수십 개 자동차 제조업체 차량과 차량 솔루션 제공업체가 구현한 서비스에서 다수 취약점을 발견했다. 공격자는 해당 취약점들을 악용해 자동차 잠금 해제부터 차량 추적에 이르기까지 광범위한 악성 활동을 수행 가능하다.

시큐리티어페어스 보도에 따르면, 전문가들이 발견한 결함은 기아, 혼다, 인피니티, 닛산, 아큐라, 메르세데스 벤츠, 제네시스, BMW, 롤스로이스, 페라리, 포드, 포르쉐, 도요타, 재규어, 랜드로버 등 유명 브랜드 차량에 영향을 미친다. 연구팀은 리바이버, 시리우스XM, 스피어온에서 제공하는 서비스에서도 결함을 발견했다고 보도했다. 

연구원은 일부 결함을 악용하여 부적절하게 구성된 SSO를 통해 수백 개의 메르세데스 mission-critical 내부 애플리케이션에 접근할 수 있었다. 공격자는 이를 악용해 여러 시스템에서 원격 코드 실행이 가능했다. 또한 일부 시스템의 메모리 컨텐츠에 액세스할 수 있어 메르세데스 직원 및 고객의 PII가 유출되었다.

BMW, 롤스로이스의 경우 직원 권한으로 모든 직원 애플리케이션에 접근할 수 있는 SSO 취약점을 발견했다. 전문가들은 VIN 번호를 제공하여 내부 딜러 포털에 액세스하고 BMW 판매 문서를 검색할 수 있었다. 또한 원격 근무자와 대리점에서 사용하는 애플리케이션을 포함해 SSO 뒤에 잠긴 모든 애플리케이션에 액세스할 수 있었다.

연구원들은 또한 더이상 사용되지 않은 딜러 포털을 통해 기아차의 완전 탈취도 가능함을 확인했다. 이들이 발견한 취약점 중 일부를 통해 차량 소유주의 실제 주소를 포함한 개인 정보를 검색할 수 있었고 차량 추적도 가능했다.

이 밖에도 몇가지 결함을 악용해 리바이버 번호판 서비스에 접근하고 차량 상태를 ‘STOLEN’으로 업데이트해 당국에 알리는 것도 시연했다.

한편 해당 전문가들이 발견한 모든 결함은 자동차 제조업체와 서비스 제공 업체에 의해 해결되었다.

★정보보안 대표 미디어 데일리시큐!