Hacker tuyên bố đã phát hiện ra cách mở khóa và khởi động xe từ xa của một nhà sản xuất ô tô

[Bui Nhat Minh]

Một nhà nghiên cứu bảo mật vừa tiết lộ một lỗ hổng nghiêm trọng có thể cho phép tin tặc điều khiển một số chức năng của xe, theo dõi vị trí và truy cập dữ liệu cá nhân tài chính của chủ xe. Vụ việc được công bố tại hội nghị hack DEF CON ở Las Vegas và ban đầu do TechCrunch đưa tin.

Nhà nghiên cứu Eaton Zveare (công ty phần mềm Harness) phát hiện lỗ hổng này nằm trong cổng thông tin đại lý trực tuyến của một hãng xe nổi tiếng (tên hãng không được tiết lộ). Lỗi trong hệ thống đăng nhập cho phép bỏ qua bước xác thực và tạo tài khoản “quản trị viên quốc gia”, từ đó truy cập vào toàn bộ dữ liệu và công cụ quản trị.

Nguy cơ kiểm soát xe và đánh cắp dữ liệu​

Với quyền truy cập cấp cao này, Zveare có thể liên kết bất kỳ chiếc xe nào với tài khoản ứng dụng di động của mình. Nhiều ứng dụng ô tô hiện nay cho phép mở/khóa xe, khởi động từ xa, tra cứu vị trí, hoặc xem dữ liệu bảo trì. Chỉ cần biết họ tên hoặc số VIN, kẻ xấu có thể xác định và chiếm quyền điều khiển xe.

Để chứng minh, Zveare đã thử với xe của một người bạn: chuyển quyền sở hữu tài khoản ứng dụng sang mình, qua đó có toàn bộ đặc quyền mà bạn anh sở hữu. Anh không thử điều khiển xe trực tiếp, nhưng nhấn mạnh nguy cơ mất mát đồ đạc và thông tin nhạy cảm.

May mắn là lỗ hổng đã được khắc phục, và hãng xe xác nhận không có truy cập trái phép nào ngoài cuộc thử nghiệm của Zveare. Tuy nhiên, vụ việc là lời cảnh báo mạnh mẽ về rủi ro an ninh của xe hơi kết nối trong kỷ nguyên số.