2022-05-17 19:25 (화)
BMW 컨넥티드 드라이브 웹, 2개 패치되지 않은 심각한 보안취약점 존재
상태바
BMW 컨넥티드 드라이브 웹, 2개 패치되지 않은 심각한 보안취약점 존재
  • 길민권
  • 승인 2016.07.11 01:14
이 기사를 공유합니다

“자동차 설정 수동 조작할 수 있는 매커니즘 만들어낸다” 경고
해외 보안전문가들이 BMW의 ConnectedDrive 웹 포털에 있는 2개의 패치되지 않은 취약점들이 자동차 설정을 수동 조작할 수 있는 매커니즘을 만들어낸다고 경고했다.
 
첫번째 취약점은 다른 취약점보다 더 심각할 수 있다. 해커는 첫번째 취약점을 이용해 차량용 인포테인먼트를 통해 사용자가 잠금/비잠금 설정, 이메일 계정 접근, 루트 관리, 실시간 교통 정보와 같이 자동차의 설정을 변경하기 전에 다른 자동차의 '자동차 식별 번호(VIN)'에 접근할 수 있다.
 
두번째는 ConnectedDrive 웹 포털의 패스워드 리셋 페이지에 있는 크로스 사이트 스크립팅 취약점이다.
 
두개 취약점은 모두 취약점 연구실의 Benjamin Kunz Mejri에 의해 공개되었다.
-http://www.vulnerability-lab.com/get_content.php?id=1736
-http://www.vulnerability-lab.com/get_content.php?id=1737
 
Kunz Mejri는 "VIN ID는 자동차의 환경 설정에 연결된다. 첫번째 로그인 이후, 사용자는 환경 설정을 위해 유효한 VIN ID를 입력해야한다. 그러나 해당 취약점을 통해 VIN의 유효성 검증을 우회하여 환경 설정에 접근할 수 있었다. 마침내 공격자는 다른 BMW 자동차의 환경 설정에 접근할 수 있게 된다"고 설명했다.
 
Kunz Mejri에 따르면 크로스사이트스크립팅 취약점도 어드레싱 과정이 필요하다. 그는 “크로스 사이트 스크립팅이 요청된 각각의 로그인을 위해 승인된 보안 토큰이 있는 곳에 존재한다"고 설명했고 "공격자는 BMW 포털 계정 사용자들을 공격하기 위해 이 페이로드와 함께 유효한 토큰을 보낼 수 있었다"고 덧붙였다.
 
BMW의 커넥티드 카 기술이 가진 보안 이슈는 이전의 키트 관련 보안 이슈와 비슷하다.
 
ForgeRock의 EMEA 디렉터 Simon Moffatt은 "BMW의 VIN 세션 하이재킹 관련 제로데이 취약점은 왜 커넥티드 디바이스 관리에 사용자 신원 중심 접근이 필수적인가의 다른 예시"라고 말했다.
 
또한 "IoT 범주에 더 많은 사물들이 포함됨에 따라 커넥티드 카와 같은 고급 아이템들은 점점 더 많은 해커들의 타깃이 될 것이다. 제조사들이 사용자 경험과 디바이스 연결성에 집중하는 동안 우리는 보안과 연결된 접근을 통해 디바이스와 서비스, 사용자 신분 관리에 더 집중해야 한다"고 덧붙였다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 HSK 외신기자>