Tin tặc có thể điều khiển từ xa xe Kia chỉ bằng biển số xe

www.tuoitre.vn -   26/09/2024 08:00:00 60

Các nhà nghiên cứu an ninh mạng đã tiết lộ một loạt các lỗ hổng đã được vá trong các xe Kia, nếu khai thác thành công, có thể cho phép điều khiển từ xa các chức năng chính chỉ bằng cách sử dụng biển số xe.

Tin tặc có thể điều khiển từ xa xe Kia chỉ bằng biển số xe

"Những cuộc tấn công này có thể được thực hiện từ xa trên bất kỳ xe nào được trang bị phần cứng trong khoảng 30 giây, bất kể xe đó có đăng ký Kia Connect đang hoạt động hay không", các nhà nghiên cứu an ninh Neiko Rivera, Sam Curry, Justin Rhinehart và Ian Carroll cho biết.

Các vấn đề này ảnh hưởng đến hầu hết các xe được sản xuất sau năm 2013, thậm chí cho phép kẻ tấn công bí mật truy cập vào thông tin nhạy cảm bao gồm tên, số điện thoại, địa chỉ email và địa chỉ thực của nạn nhân.

Về cơ bản, điều này sau đó có thể bị kẻ tấn công lợi dụng để tự thêm mình là người dùng thứ hai "vô hình" trên xe mà chủ xe không biết.

Điểm mấu chốt của nghiên cứu là các vấn đề này khai thác cơ sở hạ tầng đại lý Kia ("kiaconnect.kdealer[.]com") được sử dụng để kích hoạt xe để đăng ký tài khoản giả thông qua yêu cầu HTTP và sau đó tạo mã thông báo truy cập.

Mã thông báo sau đó được sử dụng kết hợp với một yêu cầu HTTP khác đến điểm cuối APIGW của đại lý và số nhận dạng xe (VIN) của một chiếc ô tô để lấy tên, số điện thoại và địa chỉ email của chủ xe.

Hơn nữa, các nhà nghiên cứu phát hiện ra rằng có thể truy cập vào xe của nạn nhân bằng cách đơn giản như gửi bốn yêu cầu HTTP và cuối cùng thực hiện các lệnh từ internet đến xe

Tạo mã thông báo của đại lý và lấy tiêu đề "mã thông báo" từ phản hồi HTTP bằng phương pháp đã đề cập ở trên

Lấy địa chỉ email và số điện thoại của nạn nhân

Sửa đổi quyền truy cập trước đó của chủ sở hữu bằng cách sử dụng địa chỉ email bị rò rỉ và số VIN để thêm kẻ tấn công làm chủ tài khoản chính

Thêm kẻ tấn công vào xe của nạn nhân bằng cách thêm địa chỉ email do họ kiểm soát làm chủ sở hữu chính của xe, do đó cho phép chạy các lệnh tùy ý

"Về phía nạn nhân, không có thông báo nào cho biết xe của họ đã bị truy cập cũng như quyền truy cập của họ không bị thay đổi", các nhà nghiên cứu chỉ ra.

"Kẻ tấn công có thể giải mã biển số xe của ai đó, nhập VIN của họ thông qua API, sau đó theo dõi họ một cách thụ động và gửi các lệnh chủ động như mở khóa, khởi động hoặc bấm còi."

Xe Kia điều khiển từ xa

Trong một kịch bản tấn công giả định, kẻ xấu có thể nhập biển số xe Kia vào bảng điều khiển tùy chỉnh, lấy thông tin của nạn nhân và sau đó thực hiện các lệnh trên xe sau khoảng 30 giây.

Sau khi tiết lộ có trách nhiệm vào tháng 6 năm 2024, các lỗ hổng đã được Kia giải quyết kể từ ngày 14 tháng 8 năm 2024. Không có bằng chứng nào cho thấy những lỗ hổng này từng bị khai thác trong thực tế.

"Ô tô sẽ tiếp tục có lỗ hổng, vì theo cách mà Meta có thể đưa ra thay đổi mã cho phép ai đó chiếm đoạt tài khoản Facebook của bạn, các nhà sản xuất ô tô cũng có thể làm như vậy đối với xe của bạn", các nhà nghiên cứu cho biết.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 52
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 57
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 53
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 84
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 57
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 84
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

LIÊN HỆ

Thông tin liên hệ