แคสเปอร์สกี้ แลป พบช่องโหว่ของตัวชาร์จรถไฟฟ้า สร้างความเสียหายต่อเน็ตเวิร์กบ้านได้

โดยปกติแล้วจะมีการทดสอบช่องโหว่ต่างๆ ของยานยนต์ไฟฟ้ารุ่นใหม่ๆ อยู่เสมอ แต่อุปกรณ์เสริมที่จำเป็นกลับถูกละเลยอยู่บ่อยครั้ง เช่น ตัวชาร์จแบตเตอรี่ เป็นต้น ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป พบว่า ตัวชาร์จยานยนต์ไฟฟ้าของเวนเดอร์รายใหญ่รายหนึ่งมีช่องโหว่ที่จะทำให้ถูกโจมตีทางไซเบอร์ได้ และการโจมตีที่ประสบความสำเร็จอาจหมายถึงความเสียหายของระบบไฟฟ้าของทั้งบ้าน

 

ยานยนต์ไฟฟ้าเป็นหัวข้อที่ได้รับความสนใจอย่างมากในปัจจุบันเนื่องจากจะช่วยรักษาสภาพแวดล้อมได้อย่างยั่งยืน ในบางภูมิภาคจะพบเห็นจุดบริการชาร์จไฟทั้งของสาธารณะและเอกชนอยู่ทั่วไป ความนิยมที่เพิ่มขึ้นนี้ทำให้ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ตรวจสอบตัวชาร์จสำหรับใช้ภายในบ้านรวมถึงฟีเจอร์การเข้าถึงระยะไกล (remote access) ผู้เชี่ยวชาญพบว่า ตัวชาร์จที่เชื่อมต่อหากถูกรุกล้ำก็สามารถทำให้ไฟฟ้าทำงานเกินกำลัง ทำให้ระบบที่เชื่อมต่ออยู่ล่ม และอาจทำให้ดีไวซ์อื่นๆ ในระบบเสียหายได้

 

นักวิจัยตรวจพบช่องทางในการใช้คำสั่งบนตัวชาร์จทั้งคำสั่งหยุดขั้นตอนการชาร์จและการตั้งค่ากระแสไฟสูงสุด การหยุดชาร์จนั้นจะเป็นการสกัดกั้นไม่ให้เจ้าของใช้ยานยนต์ไฟฟ้าของตนได้ ส่วนการตั้งค่ากระแสไฟนั้นอาจทำให้มีความร้อนสูงเกิน อุปกรณ์ที่ไม่มีฟิวส์ป้องกันจะเสียหายได้ หาผู้โจมตีต้องการเปลี่ยนค่ากระแสไฟฟ้า ก็จะเข้าเน็ตเวิร์กผ่านวายฟายที่ตัวชาร์จเชื่อมต่ออยู่ และเมื่อดีไวซ์ต่างๆ นั้นเป็นดีไวซ์ที่ใช้งานภายในบ้าน การรักษาความปลอดภัยสำหรับเน็ตเวิร์กไร้สายจึงมีข้อจำกัด ทำให้ผู้โจมตีเข้าควบคุมได้ง่าย เช่นการใช้วิธีเดาสุ่มพาสเวิร์ดซึ่งเป็นวิธีทั่วๆ ไป จากสถิติของแคสเปอร์สกี้ แลป พบว่า การโจมตี IoT ในปี 2018 จำนวน 94% มาจากการสุ่มพาสเวิร์ดแบบ Telnet และ SSH เมื่อผู้โจมตีเข้าถึงเน็ตเวิร์กไร้สายได้แล้ว ก็จะสามารถหาไอพีแอดเดรสของตัวชาร์จได้ง่าย ขั้นต่อไปคือการเริ่มหาประโยชน์จากช่องโหว่และการขัดขวางการทำงานต่างๆ

 

นักวิจัยได้แจ้งเรื่องช่องโหว่ที่ตรวจพบทั้งหมดไปยังผู้ประกอบการและได้รับการแพทช์แก้ไขเรียบร้อยแล้ว

นายดิมิทรี สกลียาร์ นักวิจัยด้านความปลอดภัยของแคสเปอร์สกี้ แลป กล่าวว่า “คนทั่วไปมักลืมว่าในการโจมตีแบบมีเป้าหมายนั้น โจรไซเบอร์จะมองหาส่วนประกอบเล็กๆ ที่ไม่สะดุดตาเพื่อใช้เป็นช่องทางบุกรุก ดังนั้นเราจึงจำเป็นต้องมองหาช่องโหว่ทั้งในนวัตกรรมและในอุปกรณ์เสริมต่างๆ ด้วย ผู้ประกอบการเองก็ควรระมัดระวังเรื่องดีไวซ์ยานยนต์ และจัดตั้งโครงการล่าบั๊ก หรือสอบถามจากผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ในกรณีนี้ เราโชคดีที่แจ้งช่องโหว่ไปยังผู้ประกอบการแล้วได้รับการตอบรับเชิงบวกและรีบแก้ไขอย่างรวดเร็ว ซึ่งช่วยป้องกันการโจมตีที่อาจเกิดขึ้นได้”

 

แคสเปอร์สกี้ แลป ขอแนะนำให้ปฏิบัติตามมาตรการด้านความปลอดภัยดังนี้:

 

  • อัพเดทสมาร์ทดีไวซ์ทั้งหมดเป็นเวอร์ชั่นล่าสุดอย่างสม่ำเสมอ ในอัพเดทนั้นอาจจะมีแพทช์สำหรับช่องโหว่ร้ายแรง ซึ่งถ้าละเลยไม่แพทช์ ก็อาจช่วยให้โจรไซเบอร์เข้าถึงระบบในบ้านและชีวิตส่วนตัวได้
  • อย่าใช้พาสเวิร์ดที่ตั้งมาเบื้องต้นสำหรับเราเตอร์วายฟายและดีไวซ์อื่นๆ ควรเปลี่ยนเป็นพาสเวิร์ดที่แข็งแกร่ง และไม่ใช้พาสเวิร์ดซ้ำกันในดีไวซ์อื่นๆ
  • แนะนำให้แยกเน็ตเวิร์กสมาร์ทโฮมออกจากเน็ตเวิร์กที่ใช้กับดีไวซ์ส่วนตัวของสมาชิกในครอบครัว เพื่อเป็นการป้องกันการติดมัลแวร์จากฟิชชิ่งอีเมล

 

ท่านสามารถอ่านรายงานฉบับเต็มได้ที่

http://securelist.com/remotely-controlled-ev-home-chargers-the-threats-and-vulnerabilities/89251/

ข้อมูลสถิติของแคสเปอร์สกี้ แลป เรื่อง IoT

https://securelist.com/new-trends-in-the-world-of-iot-threats/87991/

เปิดตัว Kaspersky IoT Scanner โซลูชั่นปกป้องไอโอทีดีไวซ์ ดาวน์โหลดฟรี เชื่อมต่อปลอดภัย

 

แคสเปอร์สกี้ แลป เปิดตัวเบต้าเวอร์ชั่นของโซลูชั่นเพื่อป้องกัน สมาร์ทโฮม” หรือบ้านอัจฉริยะ และ Internet of Things ในชื่อ “Kaspersky IoT Scanner” แอพพลิเคชั่นนี้ฟรีไม่มีค่าใช้จ่าย ทำงานบนแอนดรอยด์แพลตฟอร์ม สามารถสแกนระบบไวไฟที่ใช้งานที่บ้าน แจ้งเตือนเกี่ยวกับอุปกรณ์ต่างๆ ที่มาเชื่อมต่อกับไวไฟ และระดับของความปลอดภัย

 

ขณะที่ Internet of Things กำลังได้รับความนิยมเพิ่มขึ้นเรื่อยๆ อาชญากรไซเบอร์ก็กำลังมองหาวิธีการช่องทางหาประโยชน์จากเทรนด์ที่เติบโตนี้ด้วยเหมือนกัน แทนที่จะทำให้ชีวิตของผู้บริโภคสมาร์ทดีไวซ์ง่ายขึ้น กลับกลายมาเป็นช่องโหว่ในด้านซีเคียวริตี้ที่น่าเป็นห่วงขึ้นทุกวัน

 

ซิลเวีย อึง ผู้จัดการทั่วไป แคสเปอร์สกี้ แลป เอเชียตะวันออกเฉียงใต้ กล่าวว่า “เราได้พบเห็นดีไวซ์มากมายหลายประเภทที่เชื่อมต่ออินเทอร์เน็ต แล้วก็กลายเป็นเหยื่อโดนแฮ็ก ช่องโหว่ที่มีความน่าจะเป็นมากที่สุดมาจากซอฟต์แวร์ที่ใช้ในการต่อกับเว็บนี่เอง ทั้งๆ ที่ซอฟต์แวร์เหล่านี้ไม่ใช่ของใหม่แล้ว จุดที่เป็นช่องโหว่ได้นั้นมีตั้งแต่ baby monitors ไปจนกระทั่ง เครื่องปรับอากาศ หรือรถยนต์ น่าเศร้าว่า เมื่อมีสิ่งใดเชื่อมต่อกับเว็บได้ ก็เป็นอันว่ามีโอกาสตกเป็นเหยื่อโดนแฮ็กได้เสมอ แถมยังมี IoT search engines มาคอยเปิดโอกาสให้เป็นเหยื่อเพลี่ยงพล้ำได้ง่ายยิ่งขึ้นไปอีก”

จากการวิเคราะห์ของ การ์ตเนอร์ พบว่ามีอุปกรณ์ IoT มากกว่าหกพันล้านเครื่องที่กำลังใช้งานอยู่ทั่วโลกในขณะนี้ และหลายเครื่องก็ได้ตกเป็นเหยื่ออาชญากรไซเบอร์ไปเรียบร้อยแล้ว ตัวอย่าง เมื่อปีที่แล้ว ทั้งโลกสั่นคลอนกับคลื่นการโจมตี DDoS attacks ที่มาจากฝีมือ Mirai botnet ที่ใช้ช้องโหว่ยอดนิยมในอุปกรณ์ IoT ในการแพร่กระจายเชื้อ และจับเหยื่อมาเป็นหุ่นเชิดของตน แคสเปอร์สกี้ แลป ได้พัฒนาโซลูชั่นเพื่อช่วยลดความเสี่ยงเช่นนี้ลง ตอนนี้ยังเป็นเบต้าเวอร์ชั่น แต่ก็ขอแนะนำให้บรรดาผู้ใช้ IoT ทั้งหลายนำมาใช้เพื่อเป็นการป้องกันอุปกรณ์อัจฉริยะในบ้านสมาร์ทโฮมของตน และแบ่งปันประสบการณ์ที่ได้รับเกี่ยวกับศักยภาพ ความสามารถ สมรรถนะในการใช้งานโซลูชั่นที่เรียกว่า Kaspersky IoT Scanner นี่ด้วย

 

Kaspersky IoT Scanner จะระบุสมาร์ทดีไวซ์ที่เชื่อมต่อกับไวไฟเร้าเตอร์โดยอัตโนมัติ รวมไปถึง ไอพีคาเมร่า (IP cameras) สมาร์ททีวี เครื่องพิมพ์ต่อผ่านไวไฟ อุปกรณ์เก็บข้อมูลบน NAS มีเดียเซิร์ฟเวอร์ และเกมคอนโซล รวมไปถึงเครื่องคอมพิวเตอร์ แท็บเล็ต หรือสมาร์ทโฟน ที่อยู่ในวงเครือข่ายในบ้านของเรา โซลูชั่นจะ “จดจำ” อุปกรณ์เหล่านี้ไว้ และแจ้งเตือนผู้ใช้งาน เมื่อใดก็ตามที่มีอุปกรณ์ใหม่หรือที่ใช้ปกติมาต่อเชื่อม หรือปลดการต่อเชื่อม ทำให้ผู้ใช้งานล่วงรู้อยู่เสมอถึงสถานะความเป็นไปว่ามีใคร อะไรมาเชื่อมต่อกับเครือข่ายบ้านของตนบ้าง

 

โซลูชั่นสแกนอุปกรณ์หาช่องโหว่ ตัวอย่าง หากพอร์ตต่อเชื่อมถูกเปิดอยู่ (ย่อมหมายถึงใครก็ตามที่อยู่บนอินเทอร์เน็ตสามารถที่จะต่อเข้ามาได้) โซลูชั่นแจ้งเตือนผู้ใช้เกี่ยวกับสถานะนั้น และแนะนำให้ทำการปิดพอร์ตในทันที นอกจากนี้ Kaspersky IoT Scanner แจ้งผู้ใช้เกี่ยวกับปัญหาใดๆ ที่เกี่ยวข้องกับพาสเวิร์ดรหัสผ่านของตัวไวไฟเร้าเตอร์ Telnet หรือ SSH ด้วย ซึ่งมีความสำคัญอย่างยิ่งในการป้องกัน การเชื่อมต่อเข้ามาในเครือข่ายโดยไม่ได้รับอนุญาต ไม่ว่าจะผ่านทางอุปกรณ์ IoT ที่ต่ออยู่ชิ้นใดก็ตาม ทั้งนี้ เป็นผลมาจากการตั้งพาสเวิร์ดรหัสผ่านที่ไม่แข็งแกร่งนั่นเอง

อังเดรย์ โมโกล่า หัวหน้าฝ่ายธุรกิจผู้บริโภคของแคสเปอร์สกี้ แลป กล่าวว่า ปรัชญาความมุ่งมั่นของแคสเปอร์สกี้ แลป คือปกป้องโลกใบนี้ให้พ้นจากภัยไซเบอร์ และนี่มิใช่เป็นเพียงลมปากเท่านั้น เพราะเราทำงานหนักทุกวันเพื่อทำให้อินเทอร์เน็ตเป็นที่ที่มีความปลอดภัยสำหรับผู้ใช้งานของเรา คลังอาวุธของเรานั้นประกอบด้วยโซลูชั่นที่ไม่มีค่าใช้จ่ายในการใช้งานหลากหลายตัว รองรับการทำงานหลากหลายรูปแบบและหลากหลายแพลตฟอร์ม และ โซลูชั่น Kaspersky IoT Scanner นี้ก็เป็นอีกหนึ่งโซลูชั่นที่จะช่วยให้ประชากรเน็ตจำนวนหนึ่ง หรือเรียกว่า ผู้ใช้งานสมาร์ทดีไวซ์ทั้งหลาย สามารถใช้งานได้อย่างมีเกราะป้องกันตัว

 

สามารถดาวน์โหลด Kaspersky IoT Scanner เวอร์ชั่นเบต้าสำหรับการทดสอบได้จาก Google Play ในภาษาอังกฤษและรัสเซีย ได้ที่ https://play.google.com/store/apps/details?id=com.kaspersky.iot.scanner