Bằng cách khai thác lỗ hổng zero-day trong một ứng dụng công khai của đơn vị nhà thầu đối tác, kẻ tấn công hoàn toàn có thể chiếm quyền điều khiển hệ thống telematics của phương tiện. Hành vi tấn công này đe dọa trực tiếp đến an toàn của tài xế và hành khách.

Ví dụ, kẻ tấn công có thể buộc xe sang số hoặc tắt động cơ trong khi đang di chuyển. Phát hiện này một lần nữa gióng lên hồi chuông cảnh báo về những điểm yếu, nguy cơ an ninh mạng tiềm ẩn trong ngành công nghiệp ô tô, kêu gọi việc tăng cường các biện pháp bảo mật toàn diện.

Về phía nhà sản xuất ô tô

Cuộc đánh giá bảo mật được thực hiện từ xa, tập trung vào các dịch vụ công khai của nhà sản xuất và hạ tầng của nhà thầu. Kaspersky đã xác định được một số cổng truy cập trực tuyến của hãng vô tình bị lộ ra trên internet mà không có lớp bảo mật đầy đủ.

Đầu tiên, thông qua một lỗ hổng zero-day kiểu SQL injection (SQLi) (kỹ thuật tấn công chèn mã độc vào câu lệnh SQL để truy xuất trái phép dữ liệu) trong ứng dụng wiki, các chuyên gia đã trích xuất được danh sách người dùng phía nhà thầu cùng với các password hash (phiên bản mã hóa một chiều của mật khẩu và không thể đọc trực tiếp). Do chính sách bảo mật yếu, một số password hash này đã bị giải mã thành công, mở đường cho việc xâm nhập sâu hơn vào hệ thống theo dõi sự cố của nhà thầu (hệ thống theo dõi này dùng để quản lý và theo dõi các tác vụ, lỗi hoặc sự cố trong dự án).

Đáng chú ý, hệ thống này chứa các chi tiết cấu hình nhạy cảm về hạ tầng telematics của nhà sản xuất, bao gồm một tệp chứa password hash của người dùng trên một trong các máy chủ telematics của hãng. Ở các dòng xe hiện đại, hệ thống telematics còn có chức năng thu thập, truyền tải, phân tích và sử dụng dữ liệu từ phương tiện (như tốc độ, vị trí địa lý, tình trạng xe và hành vi người lái).

Về phía hệ thống xe kết nối

Ở phía hệ thống xe kết nối, Kaspersky phát hiện tường lửa bị cấu hình sai, làm lộ một số máy chủ nội bộ. Các chuyên gia đã sử dụng mật khẩu của tài khoản dịch vụ mà họ thu được trước đó để truy cập vào hệ thống tập tin của máy chủ. Tại đây, họ tiếp tục phát hiện thêm thông tin đăng nhập của một nhà thầu khác, mở ra toàn quyền kiểm soát hạ tầng telematics dùng để thu thập và quản lý dữ liệu từ các xe thông minh.

Đáng báo động hơn, đội ngũ chuyên gia còn phát hiện một lệnh cập nhật firmware, cho phép tải phiên bản firmware đã bị chỉnh sửa vào bộ điều khiển telematics trên xe (Telematics Control Unit - TCU). Điều này đồng nghĩa với việc họ có thể truy cập vào mạng truyền thông nội bộ của xe (mạng CAN - Controller Area Network), hệ thống chịu trách nhiệm kết nối và điều phối hoạt động giữa các bộ phận trên xe như động cơ và cảm biến. Sau khi có quyền truy cập vào mạng này, các chuyên gia có thể tác động đến nhiều chức năng quan trọng của xe như điều khiển động cơ hoặc hộp số. Trong tình huống thực tế, nếu bị khai thác, những lỗ hổng này có thể đe dọa trực tiếp đến an toàn của người lái và hành khách.

Ông Artem Zinenko, Trưởng bộ phận Nghiên cứu và Đánh giá Lỗ hổng Bảo mật ICS CERT của Kaspersky nhận định: "Các lỗ hổng bảo mật này bắt nguồn từ những vấn đề khá phổ biến trong ngành công nghiệp ô tô. Cụ thể, đó là việc doanh nghiệp để các dịch vụ web có thể truy cập công khai trên internet, duy trì chính sách mật khẩu yếu, thiếu lớp bảo mật xác thực hai yếu tố (2FA) và lưu trữ dữ liệu nhạy cảm mà không mã hóa".