공격자, 자동 잠금 해지 및 원격에서 자동차 시동도 걸 수 있어
이번 취약점은 보안기업 레피드7(Rapid7)에 의해 발견돼 현대자동차 측에 보고됐다. 안드로이드용 블루링크 모바일 앱에서 암호가 하드코딩됐으며 평문 텍스트로 데이터가 전송되는 취약점이 발견된 것이다. 이를 통해 불법 조작과 데이터가 유출될 수 있다.
레피드7 측은 “자동차 소유자는 이 앱을 이용해 자동 잠금 해지, 원격에서 자동차 시동, 서비스 경고 수신 등 다양한 서비스를 실행할 수 있다”며 “또 현대 블루 링크 버전 3.9.4 및 3.9.5에 존재한다. 이 중 하나는 통신 채널 단말을 검증하지 못해서 발생하는 것으로 취약점을 공격하면 중간자 공격이 가능하다. 두 번째 취약점은 하드코딩된 복호 패스워드와 관련이 있다”고 설명했다.
현대자동차 블루링크 모바일 앱 사용자는 최신버전으로 업데이트 해야 한다.
[외신. 2017. 4. 25. & 26. SANS Korea / www.itlkorea.kr]
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
