🔥 Công ty Cổ phần MISA đã đăng ký tín nhiệm. 🔥                    🔥 Công ty Cổ phần Thiết kế - Xây dựng và Đào tạo Kiến Thiết Việt đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Trang Trí Nội Thất Và Xây Dựng Gia Hân đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty Cổ Phần Truyền Thông Appnet đã đăng ký tín nhiệm. 🔥                    🔥 Tuấn Nguyễn Mobile đã đăng ký tín nhiệm. 🔥                   

Hàng triệu phương tiện gặp rủi ro: Các lỗ hổng API được phát hiện trong 16 thương hiệu xe hơi lớn

10/01/2023

Nhiều lỗ hổng bảo mật ảnh hưởng đến hàng triệu phương tiện từ 16 nhà sản xuất khác nhau có thể bị lạm dụng để mở khóa, khởi động và theo dõi ô tô, đồng thời ảnh hưởng đến quyền riêng tư của chủ sở hữu ô tô.

Các lỗ hổng được tìm thấy trong các API ô tô đang cung cấp cho Acura, BMW, Ferrari, Ford, Genesis, Honda, Hyundai, Infiniti, Jaguar, Kia, Land Rover, Mercedes-Benz, Nissan, Porsche, Rolls Royce, Toyota cũng như trong phần mềm từ Reviver, SiriusXM và Spireon.

Các lỗ hổng có phạm vi rộng, từ các lỗ hổng cho phép truy cập trái phép vào hệ thống nội bộ của công ty và thông tin người dùng đến các lỗ hổng cho phép kẻ tấn công thực thi lệnh (command) từ xa.

Nghiên cứu được xây dựng dựa trên những phát hiện trước đó vào cuối năm ngoái, khi các nhà nghiên cứu của Yuga Labs tiết lộ chi tiết các lỗ hổng bảo mật trong một dịch vụ kết nối phương tiện (connected vehicle service) do SiriusXM cung cấp, có khả năng khiến ô tô có nguy cơ bị tấn công từ xa.

Vấn đề nghiêm trọng nhất, liên quan đến giải pháp viễn thông của Spireon, có thể đã bị khai thác để giành toàn quyền truy cập quản trị, cho phép kẻ tấn công thực thi lệnh tùy ý đối với khoảng 15,5 triệu phương tiện cũng như cập nhật firmware của thiết bị.

"Điều này có thể cho phép theo dõi và tắt khởi động của xe cảnh sát, xe cứu thương và các phương tiện thực thi pháp luật cho một số thành phố lớn và gửi lệnh đến những phương tiện đó".

Các lỗ hổng được xác định trong Mercedes-Benz có thể cấp quyền truy cập vào các ứng dụng nội bộ thông qua cơ chế xác thực đăng nhập một lần (SSO) được cấu hình không đúng cách, ngoài ra còn có thể cho phép kẻ tấn công chiếm đoạt tài khoản người dùng và tiết lộ thông tin nhạy cảm.

Các lỗ hổng khác cho phép truy cập hoặc sửa đổi hồ sơ khách hàng, trang thông tin nội bộ, theo dõi vị trí GPS của xe, quản lý dữ liệu biển số xe cho tất cả khách hàng Reviver và thậm chí cập nhật trạng thái xe là "bị đánh cắp".

Các nhà nghiên cứu lưu ý rằng “nếu kẻ tấn công có thể tìm thấy lỗ hổng trong các API mà hệ thống viễn thông của phương tiện sử dụng, chúng có thể bấm còi, nháy đèn, theo dõi, khóa/mở khóa và khởi động/dừng phương tiện từ xa”.

Mặc dù tất cả các lỗ hổng bảo mật đã được khắc phục bởi các nhà sản xuất tương ứng sau khi chúng được báo cáo, nhưng các phát hiện này nhấn mạnh sự cần thiết của chiến lược phòng thủ theo chiều sâu (defense-in-depth) để ngăn chặn các mối đe dọa và giảm thiểu rủi ro.

Nguồn: thehackernews.com

scrolltop