Xe Kia dính lỗ hổng bảo mật nghiêm trọng, có thể ảnh hưởng hàng triệu phương tiện?

Theo trang Carscoops, các nhà nghiên cứu bảo mật gần đây đã phát hiện ra rằng hàng triệu chiếc xe sản xuất từ năm 2013 có thể bị tin tặc chiếm quyền điều khiển chỉ với thông tin từ biển số xe. Điều đáng kinh ngạc là "chìa khóa" để truy cập và điều khiển xe thực tế lại được gắn ngay trên cản sau của xe.

Lỗ hổng bảo mật này được phát hiện vào tháng 6 bởi nhóm nghiên cứu bao gồm Sam Curry, Ian Carroll, Neiko Rivera, và Justin Rhinehart. Lỗ hổng cho phép các đối tượng xấu chiếm quyền điều khiển xe chỉ trong vòng 30 giây, và còn làm lộ thông tin cá nhân của chủ xe như tên, số điện thoại, địa chỉ email và thậm chí là địa chỉ nhà.

Mặc dù phương pháp tấn công khá phức tạp, Curry giải thích trên trang web của mình rằng hacker có thể giả mạo đăng ký và xác thực bản thân như một đại lý Kia. Điều này mở ra cánh cửa cho kẻ tấn công truy cập vào cổng thông tin dành riêng cho đại lý.

Từ đó, họ tìm hiểu cách tiếp cận thông tin khách hàng và thay đổi địa chỉ email liên kết với xe sang một tài khoản do kẻ tấn công kiểm soát. Theo Malwarebytes, tin tặc cần số VIN (số khung xe), vì vậy họ đã sử dụng API của bên thứ ba để chuyển đổi biển số xe thành số VIN.

Lỗ hổng bảo mật của Kia cho phép tin tặc chiếm quyền điều khiển xe chỉ trong khoảng 30 giây, đồng thời làm lộ thông tin cá nhân của khách hàng.

Điều đáng lo ngại là kẻ xấu có thể tạo ra một công cụ điều khiển từ xa, cho phép mở/khóa cửa, khởi động hoặc tắt động cơ, và định vị chiếc xe. Gần như mọi chức năng mà kẻ tấn công mong muốn đều có thể thực hiện được.

Danh sách các xe bị ảnh hưởng bao gồm hầu hết các dòng xe Kia, chẳng hạn như Seltos, Soul, Sorento, Sportage, Stinger và Telluride. Các mẫu xe khác như Forte, Niro, K5, EV6 và EV9 cũng không tránh khỏi nguy cơ bị tấn công.

May mắn thay, lỗ hổng này đã được phát hiện bởi nhóm hacker mũ trắng, những người đã liên hệ với Kia vào đầu tháng 6. Sau đó, Kia đã tiến hành điều tra và vá lỗi vào tháng 8. Nhóm nghiên cứu đã thử nghiệm để đảm bảo vấn đề đã được giải quyết trước khi công bố phát hiện của họ. Kia cũng khẳng định rằng lỗ hổng này chưa từng bị khai thác ác ý.

Giáo sư Stefan Savage, một chuyên gia khoa học máy tính tại Đại học UC San Diego, chia sẻ rằng số lượng lỗ hổng bảo mật trên các hệ thống xe hơi là hệ quả của việc các công ty xe hơi cố gắng thu hút người tiêu dùng bằng các tính năng điều khiển từ xa qua điện thoại thông minh.

Nhóm của ông là những người đầu tiên hack thành công vào hệ thống lái và phanh của xe qua internet vào năm 2010. "Khi bạn tích hợp các tính năng này với điện thoại hoặc dữ liệu đám mây, bạn đã tạo ra một cơ hội lớn cho tin tặc tấn công," Savage nhận xét.

Tuy nhiên, ông cũng cho biết ông rất ngạc nhiên trước mức độ dễ dàng khai thác các lỗ hổng này và gọi đây là "một sự thất vọng lớn".