417/68 (IT) ประจำวันพุธที่ 22 ตุลาคม 2568
แนวคิด “Bring Your Own Device” (BYOD) ที่อนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัวทำงาน กำลังขยายวงกว้างไปสู่ความเสี่ยงใหม่ที่เรียกว่า “Bring Your Own Car” (BYOC) โดยล่าสุดในงานประชุม BSides NYC นักวิจัยจากบริษัท Threatlight ได้สาธิตการโจมตีแบบพิสูจน์แนวคิด (Proof-of-Concept) รูปแบบใหม่ ที่แสดงให้เห็นว่า รถยนต์ส่วนตัวสามารถกลายเป็นจุดเริ่มต้นในการเจาะเข้าสู่เครือข่ายภายในขององค์กรได้สำเร็จ โดยอาศัย “โทรศัพท์มือถือ” ของพนักงานเป็นสะพานเชื่อม นักวิจัยชี้ว่าการโจมตีนี้ใช้เพียงอุปกรณ์ไม่กี่ชิ้น และสามารถเจาะทะลุไปถึงเซิร์ฟเวอร์ Linux และ ESXi hypervisor ซึ่งเป็นระบบสำคัญขององค์กรได้
กระบวนการโจมตีเริ่มต้นเมื่อแฮกเกอร์ใช้อุปกรณ์ราคาถูก เช่น microcontroller ขนาดนามบัตร (“cardputers”) ประกอบกับโมดูลทรานซีฟเวอร์ NRF24 เพื่อรบกวนสัญญาณบลูทูธของรถยนต์เป้าหมาย (ในที่นี้คือ Tesla) เมื่อคนขับไม่สามารถเชื่อมต่อได้และพยายามเชื่อมต่อใหม่ด้วยตนเอง แฮกเกอร์จะใช้เครื่องมืออย่าง FlipperZero ปลอมแปลงสัญญาณ Bluetooth (Spoofing) ลอกเลียนเป็นชื่ออุปกรณ์ของรถยนต์ เมื่อคนขับหลงเชื่อและเชื่อมต่อ แฮกเกอร์จะใช้เทคนิค “BadUSB” ส่งคำสั่งที่เป็นอันตรายเพื่อติดตั้งมัลแวร์ (ไฟล์ APK) ลงในโทรศัพท์และเข้าควบคุมเครื่องได้สำเร็จ จากนั้น เพียงแค่รอให้พนักงานคนดังกล่าวเดินเข้าออฟฟิศ และเมื่อโทรศัพท์เชื่อมต่อกับเครือข่าย Wi-Fi ของบริษัท แฮกเกอร์ก็จะสามารถเคลื่อนที่ (Lateral Movement) จากโทรศัพท์ที่ถูกยึดครองเข้าไปโจมตีระบบอื่น ๆ ภายในเครือข่ายองค์กรได้ทันที
กรณีศึกษานี้เน้นย้ำว่าจุดอ่อนที่ร้ายแรงที่สุดมักไม่ได้อยู่ที่ตัวระบบใดระบบหนึ่ง แต่คือ “ช่องว่าง” (Gap) หรือ “รอยต่อ” ระหว่างระบบที่ถูกมองข้าม องค์กรจำนวนมากมีระบบป้องกันปลายทาง (EDR) หรือระบบตรวจจับในเครือข่าย (SOC) ที่ดี แต่กลับมองไม่เห็นความเสี่ยงที่มาจากการเชื่อมต่อระหว่างโทรศัพท์ของพนักงานกับรถยนต์ส่วนตัว นักวิจัยจึงแนะนำให้องค์กรมีมุมมองการป้องกันเชิงองค์รวม (Holistic Security) มากขึ้น เช่น การบังคับใช้นโยบาย Mobile Device Management (MDM) ที่เข้มงวด, การแบ่งส่วนเครือข่าย (Network Segmentation) และการตรวจสอบพฤติกรรมผิดปกติบนอุปกรณ์เคลื่อนที่ เพื่ออุดช่องโหว่ที่มักตกหล่นไประหว่างรอยต่อเหล่านี้
แหล่งข่าว https://www.darkreading.com/vulnerabilities-threats/car-byod-risk
