Lỗ hổng chết người của Sirius XM giúp kẻ gian mở khóa hàng loạt ôtô
Thông báo cho thấy những chiếc xe của Honda, Nissan, Infiniti và Acura có thể dễ dàng bị kẻ gian mở khóa bằng phần mềm Sirius XM.
Việc khởi động xe từ xa bằng điện thoại đã không còn quá xa lạ với người dùng trên thế giới cũng như tại Việt Nam. Tuy nhiên, cái gì "hiện đại quá cũng hại điện" và có thể dễ dàng bị kẻ gian "hack" được nếu phần mềm của hãng hay bên thứ 3 nếu có lỗ hổng chết người.
Mới đây, phần mềm Sirius XM đã buộc phải sửa một lỗ hổng bảo mật cho phép tin tặc mở khóa, khởi động, định vị, nhấp nháy và bấm còi từ xa của bất kỳ mẫu xe nào đến từ 4 thương hiệu Honda, Nissan, Infiniti và Acura nếu được trang bị kết nối từ xa.
Một hacker nổi tiếng tên là Sam Curry gần đây đã phát hiện ra lỗ hổng bảo mật Sirius XM và trình bày chi tiết quá trình này trong một loạt các tweet. Sau khi tìm thấy một loạt các lỗ hổng ảnh hưởng đến các công ty ô tô khác nhau, Curry và nhóm của ông bắt đầu tìm kiếm một dịch vụ cung cấp dịch vụ viễn thông cho tất cả các công ty đó. Nó phát hiện ra rằng SiriusXM đã được sử dụng trong tất cả các phương tiện bị ảnh hưởng và sau đó được xác định thông qua việc sử dụng ứng dụng NissanConnect rằng có thể kiểm tra và sửa đổi mã HTTP.
Người ta phát hiện ra rằng SiriusXM đang sử dụng số VIN của xe để ủy quyền các lệnh và tìm nạp hồ sơ người dùng. Tin tặc đã phát hiện ra tên, số điện thoại, địa chỉ và thông tin chi tiết về ôtô của chủ sở hữu, đồng thời cũng có thể ra lệnh cho phương tiện chỉ bằng cách biết số VIN của ôtô.
Ngay sau khi phát hiện ra lỗ hổng, Curry và nhóm của anh ấy đã báo cáo sự cố với SiriusXM, người đã nhanh chóng vá nó.
“Chúng tôi coi trọng vấn đề bảo mật tài khoản của khách hàng và tham gia vào chương trình tiền thưởng lỗi để tri ân những người giúp mình xác định và sửa các lỗi bảo mật tiềm ẩn ảnh hưởng đến nền tảng của chúng tôi,” người phát ngôn của Sirius XM Connected Vehicle Services nói với The Register.
“Là 1 phần của công việc, một nhà nghiên cứu bảo mật đã gửi báo cáo tới dịch vụ phương tiện được kết nối của Sirius XM về một lỗ hổng ủy quyền ảnh hưởng đến một chương trình viễn thông cụ thể. Vấn đề đã được giải quyết trong vòng 24 giờ sau khi báo cáo được gửi. Không có bất kỳ người đăng ký hoặc dữ liệu nào khác bị xâm phạm cũng như không có bất kỳ tài khoản trái phép nào bị sửa đổi bằng phương pháp này.”
Curry tiết lộ rằng các nhà sản xuất ôtô đã cho phép chủ sở hữu xác thực dữ liệu thông qua một ứng dụng di động, chẳng hạn như ứng dụng Nissan Connected và MyHonda.