2024-03-28 20:20 (목)
테슬라 스마트폰 애플리케이션 보안취약점 발견…모든 공격 가능해
상태바
테슬라 스마트폰 애플리케이션 보안취약점 발견…모든 공격 가능해
  • hsk 기자
  • 승인 2016.11.28 16:08
이 기사를 공유합니다

문을 열고 키 없이도 주행 기능 사용 가능…차량 시스템 완전 장악

공격자가 테슬라 자동차의 스마트폰 애플리케이션 취약점을 이용해 사용자의 위치를 추적하고 문을 열 수도 있고 정보도 훔칠 수 있다는 사실이 밝혀졌다.

노르웨이 애플리케이션 보안 회사 Promon의 보안 연구원들은 자동차가 주차되어 있는 동안 문을 열고, 키 없이도 주행 기능을 사용할 수 있는 등의 시스템 장악이 가능한 사실을 발견했다. 테슬라 스마트폰 애플리케이션의 취약한 보안으로 온갖 종류의 익스플로잇이 가능해졌다.

Promon 측은 자신들이 발견한 사이버 공격에 지난 9월 중국 텐센트 킨랩(Tencent Keen Lab)이 공개한 것에 추가적인 발견이 포함되어 있다고 말했다. Promon 설립자이자 CTO인 Tom Lysemose Hansen은 “Keen Lab의 최근 연구는 테슬라 자동차의 CAN bus 시스템에 있는 취약점을 익스플로잇해 제한된 개수의 기능만을 제어할 수 있다. 우리의 발견은 테슬라 애플리케이션을 진입 지점으로 사용한 첫번째 시도이며, 애플리케이션 공격을 통해 직접 차를 공격할 수 있다는 것을 보여준다”고 말했다.

해킹이 성공하도록 하기 위한 한가지 조건은 공격자들이 공용 테슬라 충전소 근처에 와이파이 핫스팟을 설정하도록 하는 것이다. 테슬라 사용자들이 로그인하여 페이지에 접속한 후 공격자가 심어놓은 링크를 클릭하거나 무언가를 다운로드 받게 되면, 해커는 사용자의 모바일 디바이스에 접근이 가능해진다. 또한 테슬라 애플리케이션의 사용자 이름과 비밀번호를 얻어 공격이 가능해진다.

Promon 측은 “만약 테슬라가 애플리케이션 내에 자가 보호 기능을 적용하는 등의 보안을 위한 노력을 했다면, 이와 같은 공격을 성공시키기 위해 더 높은 수준의 기술이 필요했을 것이다”라고 언급했다.

이에 테슬라 측 대변인은 “테슬라는 공격 당한 애플리케이션을 통해 어떤 차를 훔쳤다는 어떠한 보고도 받지 못했다. 해당 리포트 및 비디오는 테슬라의 어떠한 구체적인 취약점에 대해 설명하지 않고 있다. 연구원들은 이것은 소셜 엔지니어링 기술을 통해 사용자들이 멀웨어를 설치하도록 하고, 폰과 애플리케이션이 공격의 타깃이 되도록 하는 것임을 보여주었다. 우리는 사용자들이 최신 버전의 모바일 운영체제를 사용할 것을 추천한다”고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★