Thông tin này đã được các kỹ sư của Phòng thí nghiệm Yuga phát hiện sau khi tìm ra những lỗi này và gửi chúng cho các nhà sản xuất ô tô và nhà thầu của họ. Nhà nghiên cứu mạng Sam Curry cùng đồng nghiệp của mình tại Phòng thí nghiệm Yuga đã thành công trong việc phát hiện ra những sai sót trong những chiếc xe có kết nối. Anh ấy phát hiện ra rằng một lỗi trong ứng dụng di động của Hyundai sẽ cho phép tin tặc mạo danh chủ nhân và đánh cắp xe. Để làm điều này, nhóm thí nghiệm chỉ cần địa chỉ email của chủ xe.
Curry giải thích: “Bằng cách thêm ký tự điều khiển, ký tự xuống dòng hoặc nguồn cấp dữ liệu xuống dòng ở cuối địa chỉ email của tài khoản hiện có, chúng tôi có thể tạo tài khoản bỏ qua hệ thống xác minh ”.
Đầu năm nay, ông Curry và cộng sự cũng đã phát hiện ra một lỗ hổng bảo mật có thể ảnh hưởng đến ô tô của các hãng khác nhau. Sau đó, họ nhận ra rằng điểm chung giữa hầu hết các phương tiện là nhà cung cấp dịch vụ viễn thông SiriusXM Connected Vehicles - công ty có thể mở khóa hoặc khóa xe của người dùng từ xa. Để làm điều này, họ cần địa chỉ email của chủ xe hoặc mã VIN của xe. Công nghệ của công ty này được đánh giá cao với một loạt danh sách khách hàng, gồm Fiat, Land Rover, Lexus, Hyundai, Honda hay thậm chí là BMW và Jaguar.
Để mở khóa một chiếc ô tô và chiếm quyền điều khiển nó, tin tặc chỉ cần mã VIN của chiếc xe đó. Sau khi gửi số này đến máy chủ SiriusXM, tin tặc có tất cả các quyền để mở khóa xe và kiểm soát nó. Curry cho rằng tin tặc có thể chạy các lệnh trên ô tô và thu thập thông tin tài khoản khách hàng chỉ bằng mã VIN mà họ tìm thấy trên kính chắn gió của xe.
Hệ thống xác minh của Sirius XM đã hiển thị tọa độ và số nhận dạng khách hàng của họ trong tiêu đề của yêu cầu tới máy chủ. Theo Curry, sau khi được thông báo về những sai sót này, các công ty sẽ nhanh chóng triển khai một bản vá, và tội phạm mạng không có thời gian để khai thác chúng.
Được biết, xe kết nối đang ngày càng xuất hiện nhiều hơn và mang lại lợi ích cho người dùng. Tuy nhiên, sự phụ thuộc ngày càng tăng vào máy tính và công nghệ không dây càng khiến cho chúng ta có nguy cơ bị lừa đảo và trộm cắp. Gần đây, một lỗi bảo mật liên kết với Bluetooth đã cho phép các nhà bảo mật vượt qua cơ chế bảo vệ của Tesla Model X để điều khiển chỉ trong 90 giây.
Thái An
