Nhờ một lỗ hổng bảo mật và biển số xe, các đối tượng xấu có thể mở khóa và khởi động hầu như mọi chiếc ô tô đến từ Kia, kể từ những mẫu đời mới nhất như xe điện EV9.
Theo trang Carscoops, các nhà nghiên cứu bảo mật gần đây phát hiện ra rằng hàng triệu xe sản xuất từ năm 2013 có thể bị chiếm quyền điều khiển chỉ với biển số xe. Thật kinh ngạc khi "chìa khóa" để điều khiển xe thực tế lại được gắn ngay trên cản sau.
Lỗ hổng này được phát hiện vào tháng 6 bởi một nhóm các nhà nghiên cứu bao gồm Sam Curry, Ian Carroll, Neiko Rivera và Justin Rhinehart. Lỗ hổng này cho phép các đối tượng xấu chiếm quyền điều khiển xe chỉ trong khoảng 30 giây, đồng thời còn làm lộ thông tin cá nhân của khách hàng như tên, số điện thoại, địa chỉ email và địa chỉ nhà.
Mặc dù cuộc tấn công và cách thức thực hiện khá phức tạp, Curry đã giải thích trên trang web của mình rằng hacker có thể đăng ký và xác thực bản thân như một đại lý, điều này giúp họ có quyền truy cập vào cổng thông tin đại lý của Kia.
Từ đó, họ tìm hiểu cách truy cập thông tin khách hàng và trở thành "chủ tài khoản chính" của những chiếc xe mục tiêu. Một phần của quá trình này bao gồm việc thay đổi địa chỉ email liên kết với xe sang một tài khoản do các đối tượng kiểm soát. Malwarebytes cũng cho biết họ cần số VIN, vì vậy họ đã sử dụng một “API của bên thứ ba để chuyển đổi biển số xe thành số VIN.”
Đáng nói, các đối tượng xấu có thể tạo ra một công cụ để điều khiển từ xa việc khóa/mở khóa xe, khởi động và tắt máy cũng như định vị xe. Đó gần như là mọi thứ mà kẻ xấu mong muốn.
Danh sách các xe bị ảnh hưởng rất dài và dường như bao gồm hầu hết các dòng xe Kia. Trong số đó có Seltos, Soul, Sorento, Sportage, Stinger và Telluride. Các mẫu Forte, Niro, K5, EV6 và EV9 cũng đều dễ bị tấn công.
May mắn thay, lỗ hổng này đã được các hacker mũ trắng phát hiện và họ đã liên hệ với Kia vào đầu tháng 6. Kia sau đó đã bắt đầu điều tra và cuối cùng đã giải quyết lỗ hổng vào tháng 8.
Sau khi nhóm nghiên cứu tiến hành các thử nghiệm để đảm bảo vấn đề đã được khắc phục, họ quyết định công bố phát hiện của mình. Kia xác định rằng lỗ hổng này chưa từng bị khai thác một cách ác ý.
Số lượng lỗ hổng bảo mật đáng kinh ngạc trên các trang web của nhiều hãng xe hơi, cho phép kẻ xấu điều khiển xe từ xa, là hệ quả trực tiếp từ việc các công ty cố gắng thu hút người tiêu dùng—đặc biệt là những người trẻ tuổi—bằng các tính năng điều khiển thông qua điện thoại thông minh, theo lời giáo sư khoa học máy tính Stefan Savage tại Đại học UC San Diego.
Đội nghiên cứu của ông là những người đầu tiên hack vào hệ thống lái và phanh của xe qua internet vào năm 2010."Một khi bạn tích hợp các tính năng này với điện thoại hay dữ liệu đám mây, bạn đã tạo ra cơ hội cho tin tặc tấn công phương tiện" Savage chia sẻ.
Tuy nhiên, ông cho biết ngay cả ông cũng ngạc nhiên trước mức độ không an toàn của các tính năng này."Thật đáng thất vọng khi việc khai thác lại dễ dàng đến như vậy," ông nói.