Tin tặc phát hiện lỗ hổng bảo mật đầy rẫy trong ngành ô tô

Ở một số khu vực, ô tô được kết nối thậm chí còn là bắt buộc, chẳng hạn như trong hệ thống eCall của Liên minh Châu Âu. Nhưng nếu các hệ thống này giống như một cơn ác mộng bảo mật tiềm ẩn, thì đó là bởi vì chúng thường như vậy.

Năm 2015 dư luận từng xôn xao với vụ hack xe Jeep khét tiếng, khi một cặp nhà nghiên cứu chứng minh rằng họ có thể vô hiệu hóa từ xa một chiếc Jeep Cherokee khi nó đang được điều khiển thông qua một khai thác trong hệ thống thông tin giải trí của chiếc SUV. Kể từ đó, các lỗi bảo mật đã được tìm thấy trong mạng Wi-Fi, NFC và Bluetooth của một số ô tô cũng như trong các hệ thống viễn thông của bên thứ ba.

Vào cuối năm 2022, một nhà nghiên cứu tên là Sam Curry đã kiểm tra khả năng bảo mật của nhiều nhà sản xuất ô tô và hệ thống viễn thông, đồng thời phát hiện ra các lỗ hổng và lỗ hổng bảo mật dường như ở bất cứ đâu mà anh ta tìm kiếm.

Curry quyết định khám phá những lỗ hổng tiềm ẩn trong cơ sở hạ tầng kỹ thuật số của ngành công nghiệp ô tô khi ông đến thăm Đại học Maryland vào mùa thu năm ngoái sau khi trải nghiệm ứng dụng của một chiếc xe tay ga điện và phát hiện ra rằng mình có thể bật còi và đèn pha cho toàn bộ đội xe. Sau khi báo cáo lỗ hổng cho công ty xe tay ga, Curry và các đồng nghiệp đã chuyển sự chú ý của họ sang những chiếc xe lớn hơn.

Vấn đề được quan tâm đó là gần như mọi ô tô được sản xuất trong 5 năm qua đều có chức năng gần như giống hệt nhau. Nếu kẻ tấn công có thể tìm thấy các lỗ hổng trong các điểm cuối API mà hệ thống viễn thông của phương tiện sử dụng, thì chúng có thể bấm còi, nháy đèn, theo dõi, khóa/mở khóa và khởi động/dừng phương tiện từ xa hoàn toàn.

Được trang bị không gì khác hơn là mã số nhận dạng phương tiện, tin tặc có thể truy cập vào các dịch vụ từ xa dành cho ô tô của Acura, Honda, Infiniti, Kia và Nissan, bao gồm định vị và mở khóa ô tô, khởi động hoặc dừng động cơ hoặc bấm còi. Chúng cũng có thể chiếm đoạt tài khoản của người dùng bằng số VIN và trong trường hợp của Kia, các nhà nghiên cứu thậm chí có thể truy cập camera đỗ xe trực tiếp trên xe.

Xe Genesis và Hyundai cũng có thể khai thác tương tự, mặc dù có địa chỉ email của chủ sở hữu thay vì số VIN. Các phương tiện của Porsche cũng dễ bị tổn thương về hệ thống viễn thông cho phép Curry xác định vị trí của một phương tiện và gửi lệnh cho nó.

Công ty viễn thông Spireon có nhiều lỗ hổng bảo mật cho phép tin tặc giành được “toàn bộ quyền truy cập của quản trị viên vào bảng quản trị toàn công ty với khả năng gửi các lệnh tùy ý tới ước tính 15,5 triệu phương tiện (mở khóa, khởi động động cơ, tắt bộ khởi động, v.v.), đọc bất kỳ vị trí thiết bị nào và cập nhật chương trình cơ sở của thiết bị”, Curry nói.

Biển số xe kỹ thuật số gần đây đã được phê duyệt để sử dụng ở California, Mỹ, cũng có thể khai thác được. Curry phát hiện ra rằng ông có thể có quyền truy cập quản trị viên cấp cao và quản lý tất cả các tài khoản và thiết bị của người dùng, bao gồm theo dõi ô tô và thay đổi thông báo hiển thị trên biển số xe e-ink.

Mercedes-Benz, BMW và Rolls-Royce đều bị tấn công thông qua các lỗ hổng đăng nhập một lần cho phép truy cập vào mạng công ty và thông tin nhận dạng cá nhân của nhân viên hoặc khách hàng (PII). API viễn thông của Ford dễ bị tấn công và cũng tiết lộ PII của khách hàng, trong khi các tham chiếu đối tượng trực tiếp không an toàn cho phép tin tặc tìm thấy PII của khách hàng Ferrari, Jaguar Land Rover và Toyota Financial.

Cuối cùng, các key của Amazon Web Services bị rò rỉ đã cho phép tin tặc truy cập vào nhà cung cấp đài vệ tinh Sirius XM, với "khả năng truy xuất tất cả các tệp, bao gồm cơ sở dữ liệu người dùng, mã nguồn và tệp cấu hình”.

Trước phát hiện mới này, người phát ngôn của Acura và Honda cho biết: “Honda đã biết về một lỗ hổng được báo cáo liên quan đến các dịch vụ xe kết nối SiriusXM được cung cấp cho nhiều thương hiệu ô tô. Dịch vụ này đã được giải quyết nhanh chóng sau khi họ biết về nó. Honda không thấy dấu hiệu nào cho thấy có bất kỳ hành vi lợi dụng lỗ hổng hiện đã được giải quyết với mục đích xấu này để truy cập vào các dịch vụ xe được kết nối trên các xe của Honda hoặc Acura”.

Người phát ngôn của BMW cũng nói rằng, "Tập đoàn BMW liên tục theo dõi hệ thống của mình để tìm các lỗ hổng bảo mật hoặc các mối đe dọa bảo mật có thể xảy ra. Ngoài ra, chúng tôi cũng thường xuyên hợp tác chặt chẽ với các chuyên gia bảo mật bên ngoài. Lỗ hổng được đề cập trong bài viết trên SamCurry.net được biết đến kể từ đầu tháng 11 năm 2022 và đã được xử lý theo quy trình vận hành tiêu chuẩn bảo mật của chúng tôi. Các vấn đề về lỗ hổng được giải quyết đã được khắc phục trong vòng 24 giờ và không có dữ liệu nào bị rò rỉ. Do đó, các hệ thống công nghệ thông tin liên quan không bị ảnh hưởng cũng như không bị tổn hại”.

Liên quan đến lỗ hổng bảo mật của Ford, một phát ngôn viên của công ty này nói : "Những vấn đề này đã được khắc phục sau khi được báo cáo”.

Còn người phát ngôn của Hyundai và Genesis thông tin: "Hyundai đã làm việc liên tục với các chuyên gia tư vấn bên thứ ba để điều tra lỗ hổng có chủ đích ngay khi các nhà nghiên cứu phát hiện ra nó. Điều quan trọng là, ngoài các phương tiện và tài khoản của Hyundai thuộc về chính các nhà nghiên cứu, cuộc điều tra của chúng tôi chỉ ra rằng không có phương tiện hoặc tài khoản nào của khách hàng — đối với Hyundai hoặc Genesis — bị người khác truy cập do các vấn đề mà các nhà nghiên cứu đưa ra.

Chúng tôi cũng lưu ý rằng để sử dụng lỗ hổng có chủ đích, địa chỉ email được liên kết với tài khoản và phương tiện cụ thể của Hyundai/Genesis cũng như tập lệnh web cụ thể được các nhà nghiên cứu sử dụng phải được biết. Tuy nhiên, Hyundai và Genesis đã thực hiện các biện pháp đối phó trong vòng vài ngày kể từ khi thông báo để tăng cường hơn nữa tính an toàn và bảo mật cho hệ thống của chúng tôi. Hyundai và Genesis không bị ảnh hưởng bởi lỗ hổng ủy quyền Sirius XM được tiết lộ gần đây. Chúng tôi đánh giá cao sự hợp tác của mình với các nhà nghiên cứu bảo mật và đánh giá cao sự hỗ trợ của nhóm này”.