Hàng loạt ôtô của Honda và Nissan có nguy cơ bị hack
Một lỗ hổng bảo mật trong hệ thống thông tin giải trí đã đưa hàng loạt ôtô vào trạng thái dễ bị chiếm quyền điều khiển.
SiriusXM mới đây buộc phải gấp rút vá một lỗ hổng bảo mật cho phép các hacker mở khóa, khởi động, định vị xe và thậm chí là nháy đèn và bấm còi từ xa. Các mẫu xe bị ảnh hưởng được báo cáo đến từ các thương hiệu Honda, Nissan, Infiniti và Acura.
Lỗ hổng bảo mật này được một người có tên Sam Curry tìm ra, sau đó đăng tải chi tiết trên Twitter cá nhân.
Cụ thể, Sam Curry cho biết SiriusXM sẽ sử dụng số VIN (Vehicle Identification Number - số định danh phương tiện) của xe để ủy quyền thực hiện các thao tác liên quan và tìm kiếm thông tin về người dùng. Như vậy chỉ cần biết số VIN của ôtô, các hacker đã có thể dễ dàng tìm ra tên, số điện thoại, địa chỉ và thông tin chi tiết của chủ xe, cũng như dễ dàng điều khiển phương tiện từ xa.
Sam Curry và các cộng sự đã nhanh chóng báo cáo sự cố với SiriusXM, và đơn vị này cũng lập tức sửa lỗi.
“Chúng tôi rất xem trọng vấn đề bảo mật tài khoản của khách hàng. Sau khi một nhà nghiên cứu bảo mật gửi các báo cáo liên quan cho SiriusXM, chúng tôi đã xử lý vấn đề trong vòng 24 giờ. Không có bất kỳ người dùng hay dữ liệu nào bị xâm phạm, cũng như không có bất kỳ tài khoản nào bị sửa đổi thông qua lỗ hổng bảo mật này”, người phát ngôn của Sirius XM Connected Vehicle Services xác nhận khi trả lời The Register.
Trước đó, Sam Curry giải thích rằng hầu hết ôtô đều được trang bị SiriusXM đi kèm với hệ thống thông tin giải trí của xe có khả năng thực hiện các thao tác trên xe như khóa/mở khóa, đồng thời giao tiếp qua vệ tinh với Internet với API do SiriusXM xây dựng. Điều này có nghĩa là dữ liệu người dùng đang được trao đổi qua lại với SiriusXM thông qua ôtô cá nhân, và thông tin đó có thể bị chiếm quyền điều khiển.
Sam Curry tiết lộ các nhà sản xuất ôtô đã cho phép chủ sở hữu xác thực dữ liệu thông qua một ứng dụng di động, chẳng hạn Nissan Connected hay MyHonda.
“Sau khi khách hàng đăng nhập vào tài khoản trên những ứng dụng di động nói trên, tài khoản đi kèm số VIN sẽ được liên kết với ứng dụng mà từ đó, chủ xe có thể truy cập và nhận các dữ liệu như vị trí, tốc độ hiện tại của chiếc xe”, Sam Curry nói với trang tin Gizmodo.
Người này cũng giải thích rằng thông qua việc khai thác lỗ hổng xác thực trong hệ thống của Sirius XM, tội phạm mạng đã có thể chiếm đoạt chiếc xe cũng như thông tin về tài khoản của khách hàng có liên quan.