Hàng triệu xe Kia có nguy cơ bị tấn công từ xa
Trong một tiết lộ rùng rợn, các nhà nghiên cứu bảo mật gần đây đã phát hiện ra các lỗ hổng nghiêm trọng trong hệ thống trực tuyến của Kia khiến hàng triệu xe dễ bị tấn công từ xa. Không chỉ là việc truy cập vào một vài tính năng không quan trọng. Các lỗ hổng được phát hiện có thể trao cho tin tặc quyền kiểm soát các chức năng chính của xe, tất cả chỉ bằng một vài bước đơn giản.
Mục lục
Sự khai thác nguy hiểm
Hãy tưởng tượng điều này: chỉ cần biển số xe của bạn, tin tặc có thể chiếm quyền kiểm soát xe của bạn trong vòng chưa đầy 30 giây. Thật đáng báo động phải không? Sam Curry, một nhà nghiên cứu an ninh mạng, cùng với một nhóm gồm ba chuyên gia khác, đã phát hiện ra những lỗ hổng đáng lo ngại này trong cổng thông tin dành cho chủ sở hữu xe Kia—một hệ thống trực tuyến kết nối chủ xe với xe của họ.
Các lỗ hổng này không chỉ mở ra cánh cửa điều khiển xe từ xa mà còn tiết lộ kho tàng thông tin cá nhân. Các chi tiết như tên, địa chỉ, địa chỉ email và số điện thoại của chủ xe có thể được trích xuất dễ dàng. Có lẽ đáng lo ngại hơn nữa là kẻ tấn công có thể tạo hồ sơ người dùng thứ hai mà chủ xe không hề biết, cho phép chúng gửi lệnh đến xe như mở khóa cửa hoặc thậm chí khởi động động cơ.
Sự cố kỹ thuật
Vậy thì những lỗ hổng này đã lọt qua các vết nứt như thế nào? Theo Curry, trang web của chủ sở hữu Kia không chỉ là một cổng thông tin để kiểm tra thông tin về xe mà còn có khả năng thực hiện các lệnh từ internet đến xe. Chức năng này được thực hiện thông qua một proxy ngược ở phía sau hướng các lệnh này đến một API chịu trách nhiệm thực hiện các hành động.
Ngoài ra, cơ sở hạ tầng đại lý Kia cũng đặt ra những rủi ro tương tự. Sau khi đăng ký trên trang web của đại lý, cùng một yêu cầu được sử dụng để đăng ký cổng thông tin của chủ sở hữu Kia có thể bị thao túng. Các nhà nghiên cứu đã có thể lấy được mã thông báo truy cập, cho phép họ gọi API của đại lý ở phía sau.
Nói một cách đơn giản, hệ thống sẽ giao chìa khóa cho vương quốc. Bằng cách khai thác các lỗ hổng này, tin tặc có thể lấy dữ liệu cá nhân nhạy cảm và thậm chí thay thế địa chỉ email của chủ sở hữu, biến mình thành chủ tài khoản chính. Từ đó, chúng có thể gửi lệnh đến xe—tất cả mà không gây ra bất kỳ nghi ngờ nào từ phía chủ sở hữu.
Một lỗi có phạm vi tiếp cận lớn
Một trong những khía cạnh đáng lo ngại nhất của lỗ hổng này là phạm vi của nó. Nhóm của Curry đã có thể tạo ra một bảng điều khiển bằng chứng khái niệm cho phép họ nhập biển số xe, lấy thông tin cá nhân của chủ sở hữu và ra lệnh cho xe. Theo Curry, bất kỳ mẫu xe Kia nào được sản xuất sau năm 2013 đều có khả năng gặp rủi ro.
Một khi bị xâm nhập, tin tặc có thể theo dõi xe, điều khiển các tính năng như mở khóa cửa, bấm còi hoặc khởi động động cơ - tất cả chỉ bằng một bàn phím.
Có lẽ phần gây sốc nhất là gì? Theo quan điểm của chủ sở hữu, không có thông báo hoặc cảnh báo nào về việc xe của họ đã bị truy cập hoặc tài khoản của họ đã bị thay đổi. Về cơ bản, đó là một vụ tiếp quản thầm lặng.
Phản hồi của Kia
May mắn thay, sau khi các lỗ hổng được báo cáo cho Kia vào tháng 6 năm 2024, hãng sản xuất ô tô này đã hành động. Đến giữa tháng 8, họ đã triển khai bản sửa lỗi để giải quyết các lỗ hổng và bảo vệ xe của họ khỏi các cuộc khai thác từ xa. Mặc dù bản vá lỗi này khiến nhiều người nhẹ nhõm, nhưng nó là lời nhắc nhở rõ ràng về việc xe của chúng ta đã trở nên kết nối như thế nào và chúng dễ bị tấn công mạng như thế nào.
Bước tiếp theo cho an ninh xe cộ là gì?
Với nhiều nhà sản xuất ô tô tích hợp công nghệ tiên tiến và hệ thống dựa trên internet vào xe hơi của họ, nguy cơ đe dọa mạng đang gia tăng. Sự cố của Kia đóng vai trò như một lời cảnh tỉnh, nêu bật tầm quan trọng của an ninh mạng mạnh mẽ trong các phương tiện hiện đại. Khi ngành công nghiệp ô tô phát triển, các giao thức bảo mật được thiết kế để giữ cho cả ô tô và người lái xe an toàn trước các mối đe dọa kỹ thuật số cũng phải phát triển theo.
Tập này sẽ nhắc nhở các nhà sản xuất ô tô, đặc biệt là Kia, liên tục xem xét và cập nhật các biện pháp bảo mật của họ. Đối với chủ xe, điều quan trọng là phải luôn cập nhật thông tin, áp dụng các bản cập nhật kịp thời và nhận thức được mọi lỗ hổng bảo mật tiềm ẩn có thể phát sinh trong thời đại ô tô kết nối này.
Tương lai kỹ thuật số của ô tô rất thú vị, nhưng cũng đi kèm với những rủi ro đáng kể - những rủi ro đòi hỏi phải chú ý cẩn thận để đảm bảo an toàn cho mọi người trên đường khỏi các mối đe dọa vật lý và kỹ thuật số.