Những lỗ hổng đó được phát hiện trong cuộc kiểm tra an ninh kéo dài từ tháng 01/2017 đến tháng 02/2018 của các nhà nghiên cứu ở Keen Security Lab, đơn vị nghiên cứu an ninh mạng của Tencent.
Tháng 3/2018, nhóm nghiên cứu đã tiết lộ cho BMW Group 14 lỗ hổng đã ảnh hưởng tới xe của hãng từ ít nhất là năm 2012. Đây cũng chính là nhóm nghiên cứu từng phát hiện ra nhiều lỗ hổng có thể lợi dụng để điều khiển từ xa trong các mô-đun trong xe của Tesla.
BMW đã bắt đầu đưa ra các bản vá cho những người mua xe, và các nhà nghiên cứu đã công bố một báo cáo kỹ thuật dài 26 trang nhưng không công bố những chi tiết quan trọng để tránh bị lợi dụng.
Các nhà nghiên cứu cho biết, bản báo cáo đầy đủ sẽ được công bố vào khoảng đầu năm 2019, khi hãng BMW đã có biện pháp xử lý hoàn chỉnh cho các lỗ hổng.
Nhóm nghiên cứu tập trung vào ba cấu phần quan trọng là Infotainment System (hay Head Unit), Telematics Control Unit (TCU hay T-Box) và Central Gateway Module trong nhiều mẫu xe BMW.
Danh sách các lỗ hổng bao gồm:
Việc lợi dụng các lỗ hổng đó có thể cho phép kẻ xấu gửi các thông điệp chẩn đoán tuỳ ý tới bộ phận điều khiển động cơ – bộ phận chủ chốt của xe. Điều đó có nghĩa là chúng có thể kiểm soát toàn bộ hoạt động của ôtô.
Bốn lỗ hổng cần truy cập vật lý tới cổng USB hay cổng ODB (On-board diagnostics), tức là kẻ xấu cần cắm thiết bị có mã độc vào cổng USB. Bốn lỗ hổng khác cần có truy cập vật lý trực tiếp hoặc gián tiếp với chiếc xe. Tuy nhiên, có 6 lỗ hổng có thể bị lợi dụng từ xa, trong đó 01 lỗ hổng có thể bị lợi dụng qua Bluetooth hay mạng di động, ngay cả khi chiếc xe đang chạy.
Nhóm nghiên cứu xác nhận rằng các lỗ hổng trong Head Unit có thể ảnh hưởng tới nhiều loại xe BMW, trong đó có BMW i Series, BMW X Series, BMW 3 Series, BMW 5 Series, BMW 7 Series. Tuy nhiên, các nhà nghiên cứu nói rằng, các lỗ hổng của TCU có thể ảnh hưởng tới những dòng xe BMW được sản xuất từ năm 2012.
BMW đã xác nhận về kết quả nghiên cứu và đã bắt đầu đưa ra các bản cập nhật OTA để khắc phục lỗi của TCU, nhưng các lỗi khác cần được vá bởi những đơn vị bán hàng. BMW còn trao cho các nhà nghiên cứu ở Keen Security Lab giải thưởng nghiên cứu CNTT và số hoá đầu tiên của họ, với nhận xét rằng đây là nghiên cứu toàn diện và phức tạp nhất về các phương tiện của BMW do bên thứ ba thực hiện.
Nguyễn Anh Tuấn
Theo The Hacker News
16:00 | 18/04/2019
08:00 | 27/09/2017
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024
