연구원들은 Skoda 인포테인먼트의 심각한 결함을 발견했습니다.

연구원들은 일부 Skoda 자동차에 사용되는 인포테인먼트 장치에서 여러 가지 취약점을 발견했습니다. 이러한 결함으로 인해 악의적인 행위자가 특정 제어를 원격으로 실행하고 차량 위치를 실시간으로 추적할 수 있습니다. 자동차 부문 전문 사이버 보안 회사인 PC오토모티브(PCAutomotive)가 12가지 새로운 보안 취약점을 공개했습니다.

이는 Skoda Superb III 세단의 최신 모델에 영향을 미칩니다. PCAutomotive의 보안 평가 책임자인 Danila Parnishchev는 취약점이 서로 연결될 수 있다고 설명했습니다. 이를 통해 해커는 차량에 악성 코드를 주입할 수 있습니다.

이 결함을 악용하려면 공격자는 Bluetooth를 통해 Skoda Superb III의 미디어 장치에 연결해야 합니다. 차량의 MIB3 인포테인먼트 장치에서 발견된 취약점으로 인해 공격자가 무제한 코드를 실행할 수 있습니다. 이를 통해 공격자는 실제 차량 GPS 좌표와 속도 데이터를 얻을 수 있습니다.

또한 차량 내 마이크를 통해 대화를 녹음하고, 인포테인먼트 디스플레이의 스크린샷을 찍고, 차량 내에서 임의의 소리를 재생할 수도 있습니다.

Skoda 인포테인먼트 취약점 노출

이 결함으로 인해 연락처가 자동차와 동기화되면 공격자가 차량 소유자의 전화 연락처 데이터베이스를 유출할 수도 있습니다.

Parnishchev는 “보통 전화는 암호화되어 있기 때문에 연락처 데이터베이스를 쉽게 추출할 수 없습니다.”라고 말했습니다. “인포테인먼트 장치의 경우에는 연락처 데이터베이스가 일반 텍스트로 저장됩니다.”

그러나 연구진은 차량 내 네트워크 게이트웨이 제한을 우회할 수 있는 방법을 찾지 못했습니다. 이는 스티어링 휠, 브레이크, 가속 페달과 같이 안전에 중요한 자동차 제어 장치에 접근할 수 없음을 의미합니다.

PCAutomotive는 취약한 MIB3 장치가 여러 Volkswagen 및 Skoda 모델에 사용된다고 지적했습니다. 공공 판매 데이터를 기반으로 그들은 잠재적으로 140만 대 이상의 취약한 차량이 있을 것으로 추정합니다. Parnishchev는 애프터마켓 부품 시장을 고려하면 그 숫자가 훨씬 더 높아질 수 있다고 제안했습니다.

폭스바겐은 회사의 사이버 보안 공개 프로그램을 통해 취약점이 보고된 후 해당 취약점을 패치했습니다. Skoda 대변인 Tom Drechsler는 이메일로 보낸 성명에서 다음과 같이 말했습니다. “인포테인먼트 시스템에서 보고된 취약점은 우리 제품의 수명주기 전반에 걸쳐 지속적인 개선 관리를 통해 해결되고 제거되고 있습니다. 우리 고객이나 차량의 안전에 위험이 있었던 적은 단 한 번도 없었고 현재도 없습니다.”