Những lỗ hổng đó được phát hiện trong cuộc kiểm tra an ninh kéo dài từ tháng 01/2017 đến tháng 02/2018 của các nhà nghiên cứu ở Keen Security Lab, đơn vị nghiên cứu an ninh mạng của Tencent.
Tháng 3/2018, nhóm nghiên cứu đã tiết lộ cho BMW Group 14 lỗ hổng đã ảnh hưởng tới xe của hãng từ ít nhất là năm 2012. Đây cũng chính là nhóm nghiên cứu từng phát hiện ra nhiều lỗ hổng có thể lợi dụng để điều khiển từ xa trong các mô-đun trong xe của Tesla.
BMW đã bắt đầu đưa ra các bản vá cho những người mua xe, và các nhà nghiên cứu đã công bố một báo cáo kỹ thuật dài 26 trang nhưng không công bố những chi tiết quan trọng để tránh bị lợi dụng.
Các nhà nghiên cứu cho biết, bản báo cáo đầy đủ sẽ được công bố vào khoảng đầu năm 2019, khi hãng BMW đã có biện pháp xử lý hoàn chỉnh cho các lỗ hổng.
Nhóm nghiên cứu tập trung vào ba cấu phần quan trọng là Infotainment System (hay Head Unit), Telematics Control Unit (TCU hay T-Box) và Central Gateway Module trong nhiều mẫu xe BMW.
Danh sách các lỗ hổng bao gồm:
Việc lợi dụng các lỗ hổng đó có thể cho phép kẻ xấu gửi các thông điệp chẩn đoán tuỳ ý tới bộ phận điều khiển động cơ – bộ phận chủ chốt của xe. Điều đó có nghĩa là chúng có thể kiểm soát toàn bộ hoạt động của ôtô.
Bốn lỗ hổng cần truy cập vật lý tới cổng USB hay cổng ODB (On-board diagnostics), tức là kẻ xấu cần cắm thiết bị có mã độc vào cổng USB. Bốn lỗ hổng khác cần có truy cập vật lý trực tiếp hoặc gián tiếp với chiếc xe. Tuy nhiên, có 6 lỗ hổng có thể bị lợi dụng từ xa, trong đó 01 lỗ hổng có thể bị lợi dụng qua Bluetooth hay mạng di động, ngay cả khi chiếc xe đang chạy.
Nhóm nghiên cứu xác nhận rằng các lỗ hổng trong Head Unit có thể ảnh hưởng tới nhiều loại xe BMW, trong đó có BMW i Series, BMW X Series, BMW 3 Series, BMW 5 Series, BMW 7 Series. Tuy nhiên, các nhà nghiên cứu nói rằng, các lỗ hổng của TCU có thể ảnh hưởng tới những dòng xe BMW được sản xuất từ năm 2012.
BMW đã xác nhận về kết quả nghiên cứu và đã bắt đầu đưa ra các bản cập nhật OTA để khắc phục lỗi của TCU, nhưng các lỗi khác cần được vá bởi những đơn vị bán hàng. BMW còn trao cho các nhà nghiên cứu ở Keen Security Lab giải thưởng nghiên cứu CNTT và số hoá đầu tiên của họ, với nhận xét rằng đây là nghiên cứu toàn diện và phức tạp nhất về các phương tiện của BMW do bên thứ ba thực hiện.
Nguyễn Anh Tuấn
Theo The Hacker News
16:00 | 18/04/2019
08:00 | 27/09/2017
14:00 | 24/10/2024
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
14:00 | 11/10/2024
Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Forescout (Mỹ) đã phát hiện 14 lỗ hổng bảo mật được đánh giá nghiêm trọng trên bộ định tuyến DrayTek.
15:00 | 04/08/2024
Báo cáo của hãng Kaspersky được đưa ra tại chương trình “Tập huấn mô phỏng bảo vệ tương tác của Kaspersky (KIPS)” nhằm hỗ trợ doanh nghiệp chủ động ứng phó với các mối đe dọa phức tạp và không ngừng gia tăng trong bối cảnh kỹ thuật số cho thấy số tài khoản lộ lọt do nhiễm mã độc tại Việt Nam trong những năm gần đây gia tăng đột biến, năm 2023 gấp 31 lần so với năm 2020.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
10:00 | 04/11/2024
