Các dòng xe Mazda từ Mazda 2, Mazda 3, Mazda 6 cho đến CX-3,
CX-5, CX-7, CX-9 và Mazda MX-5 đều có thể bị hack từ một ổ USB theo kaspersky antivirus
Chia sẻ từ kỹ sư bảo mật ứng dụng Jay Turla từ Bugcrowd với
trang tin Bleeping Computer cho biết các đời xe Mazda gồm Mazda 2, Mazda 3,
Mazda 6 cho đến CX-3, CX-5, CX-7, CX-9 và Mazda MX-5 đều có thể bị hack từ một ổ
USB gắn vào bảng hệ thống thông tin giải trí (dashboard) của xe.
Thực chất, các xe Mazda tồn tại một lỗ hổng bảo mật đã ba
năm qua khi một thành viên trên diễn đàn Mazda3Revolution khám phá và công bố
tháng 5-2014. Từ đó đến nay, nhiều kỹ sư dùng lỗ hổng này để tùy chỉnh hệ thống
thông tin giải trí của xe Mazda cũng như tùy ý cài đặt những ứng dụng mới.
Một trong những công cụ phổ biến là MZD-AIO-TI (MZD All In
One Tweaks Installer).
Kỹ sư Jay Turla cũng công bố một dự án của mình nghiên cứu về
'hacking' xe Mazda trên mạng nguồn mở Github tên mazda_getInfo, cho phép người
sử dụng xe Mazda có thể tải về ổ đĩa USB, gắn vào bảng điều khiển của xe, chạy
mã 'khai thác lỗi' trong phần mềm quản lý MZD Connect trong xe.
Lỗi bảo mật sẽ bị 'tấn công' ngay khi người dùng gắn ổ USB
chứa mã khai thác vào bảng điều khiển của xe, mà không cần họ thao tác gì thêm.
Tuy nhiên, ổ USB cần được gắn vào khi xe đang nổ máy, hoặc xe ở chế độ
"Accessory mode".
MZD Connect là hệ thống trên nền *NIX nên người dùng có thể
tự viết các mã lệnh Linux hay tập lệnh để thay đổi hay bổ sung, 'chế biến' theo
ý muốn.
Tuy lỗ hổng có thể được tận dụng tùy chỉnh bởi dân thích 'vọc
xe' nhưng nó cũng có thể bị kẻ xấu đưa xe Mazda của bạn vào mạng botnet của
chúng bằng cách cài đặt Trojan hay mã độc.
Tin vui cho người... không thích vọc và không muốn bị kẻ xấu
'vọc xe' ngoài ý muốn, bản cập nhật phần mềm quản lý kết nối MZD Connect
59.00.502 đã khắc phục lỗ hổng này. Có thể đưa xe vào hệ thống bảo trì chính
hãng để yêu cầu cập nhật firmware mới.
Trong phản hồi của Mazda với Bleeping Computer, hãng xe này
cho biết Mazda Connect điều khiển một lượng rất ít các tính năng trong xe
Mazda, và không thể bị truy xuất từ xa thông qua mạng không dây Wi-Fi. Mazda
Connect có thể điều khiển các thiết lập chức năng như chức năng khóa điều khiển
từ xa, thông tin hiển thị trên Active Driving Display... Nhưng chúng không quản
lý bất kỳ tính năng điều khiển xe như tay lái, tăng tốc hay thắng xe (phanh).
Khai thác lỗ hổng phần mềm quản lý hay bảng điều khiển thông
tin xe hơi không còn là điều mới mẻ, đặc biệt trong xu hướng xe thông minh nở rộ
với những tính năng kết nối hiện đại như hiện nay. Tuần trước, xe Subaru WRX
STI 2017 đã bị 'hạ gục' bởi một chuyên gia nghiên cứu người Mỹ Aaron Guzman.
Năm 2015, thế giới xôn xao vì công bố tấn công xe Jeep Cherokee
từ xa của hai chuyên gia nổi tiếng Charlie Miller và Chris Valasek. Các hội nghị
bảo mật nổi tiếng thường niên như DEF CON các năm trở lại đây cũng có khu riêng
dành cho 'hack xe hơi' mang tên Car Hacking Village.
Không có nhận xét nào:
Đăng nhận xét