Công ty cung cấp dịch vụ kiểm thử xâm nhập và an toàn mạng Pen Test Partners (PTP) tại Anh đã phát hiện thiết bị báo động Viper Smart Start và các sản phẩm của hãng Pandora tồn tại nhiều lỗ hổng cho phép kẻ tấn công đánh cắp xe ô tô được gắn những thiết bị đó.
PTP cho biết, trước khi công ty liên hệ với nhà sản xuất, ước tính khoảng 3 triệu chiếc xe và chủ xe có thể đã từng bị tấn công. PTP bắt đầu quan tâm đến những thiết bị báo động của Pandora sau khi công ty này quảng cáo rằng thiết bị của họ chống lại được các tấn công mạng.
Theo PTP, họ có thể thay đổi mật khẩu của tài khoản người dùng Viper Smart Start và địa chỉ thư điện tử dùng để đăng ký tài khoản bằng cách lạm dụng việc các hàm API không được xác thực và một chỉnh sửa tham số đơn giản (một yêu cầu đối tượng gián tiếp - indirect object request), sau đó chiếm quyền kiểm soát ứng dụng và chiếc xe được lắp đặt thiết bị báo động.
Cách thức khai thác lỗ hổng được thực hiện khá đơn giản. Các nhà nghiên cứu chỉ cần gửi một yêu cầu POST với tham số "email" là thông tin email cần chỉnh sửa thay cho email hợp lệ của chủ tài khoản, là có thể chiếm đoạt tài khoản người dùng. Trong trình diễn chứng minh khái niệm (PoC), PTP có thể thực hiện những hành vi như xác định vị trí của chiếc xe bị mục tiêu bằng chức năng có sẵn của tài khoản Viper Smart Start, tắt thiết bị báo động (khiến lái xe dừng lại để kiểm tra), kích hoạt tính năng ngăn xe di chuyển khi dừng lại và mở cửa xe từ xa.
Tồi tệ hơn, sau khi xem xét kỹ API, các nhà nghiên cứu phát hiện ra một chức năng cho phép tắt động cơ của xe từ xa. Qua khai thác các hàm API của Pandora, phương thức tấn công này còn cho phép bật microphone của xe từ xa để nghe lén.
Các nhà nghiên cứu cho biết, Mazda 6, Range Rover Sport, Kia Quoris, Toyota Fortuner, Mitsubishi Pajero, Toyota Prius 50 và RAV4 là những xe có chức năng thay đổi tốc độ từ xa mà không được ghi trong tài liệu hướng dẫn của thiết bị báo động.
Cả Pandora và Viper đều đã khắc phục các lỗ hổng trước khi PTP công bố thông tin. Tuy nhiên, PTP lưu ý thêm rằng, các hệ thống báo động hiện đại thường có khả năng truy cập trực tiếp vào CANbus – trái tim của những chiếc xe hiện đại.
Một năm trước, các nhà nghiên cứu bảo mật đã cảnh báo mức độ an ninh, an toàn hệ thống của ô tô thông minh được xếp loại yếu. Có một số phát hiện về các đơn vị điều khiển điện (electronic control units – ECU) – môđun máy tính nhỏ dùng để kiểm soát những chức năng thường được xử lý bằng cơ khí những năm trước đây, có thể bị tấn công ngay cả khi động cơ đang tắt và xe đứng yên tại chỗ.
Nguyễn Anh Tuấn
Theo The Register
07:00 | 10/07/2018
15:00 | 27/11/2018
09:00 | 01/03/2018
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
13:00 | 13/11/2023
TriangleDB là phần mềm độc hại chính được sử dụng trong chiến dịch Operation Triangulation nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Bài viết này trình bày chi tiết một khía cạnh quan trọng của cuộc tấn công, bao gồm các module tính năng lén lút được thực hiện bởi các tác nhân đe dọa cùng với những thông tin về các thành phần được sử dụng, dựa trên báo cáo phân tích mới đây của hãng bảo mật Kaspersky.
17:00 | 08/11/2023
Đầu năm nay, một nhà cung cấp phần mềm đã bị xâm nhập bởi phần mềm độc hại Lazarus được phát tán thông qua phần mềm hợp pháp chưa được vá. Điều đáng chú ý là những lỗ hổng phần mềm này không mới và bất chấp cảnh báo cũng như bản vá từ nhà cung cấp, nhiều hệ thống của nhà cung cấp vẫn tiếp tục sử dụng phần mềm có lỗi, cho phép kẻ đe dọa khai thác chúng. Trong bài viết này sẽ phân tích chiến dịch mới của Lazarus dựa trên báo cáo mới đây của hãng bảo mật Kaspersky.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024