Những lỗ hổng đó được phát hiện trong cuộc kiểm tra an ninh kéo dài từ tháng 01/2017 đến tháng 02/2018 của các nhà nghiên cứu ở Keen Security Lab, đơn vị nghiên cứu an ninh mạng của Tencent.
Tháng 3/2018, nhóm nghiên cứu đã tiết lộ cho BMW Group 14 lỗ hổng đã ảnh hưởng tới xe của hãng từ ít nhất là năm 2012. Đây cũng chính là nhóm nghiên cứu từng phát hiện ra nhiều lỗ hổng có thể lợi dụng để điều khiển từ xa trong các mô-đun trong xe của Tesla.
BMW đã bắt đầu đưa ra các bản vá cho những người mua xe, và các nhà nghiên cứu đã công bố một báo cáo kỹ thuật dài 26 trang nhưng không công bố những chi tiết quan trọng để tránh bị lợi dụng.
Các nhà nghiên cứu cho biết, bản báo cáo đầy đủ sẽ được công bố vào khoảng đầu năm 2019, khi hãng BMW đã có biện pháp xử lý hoàn chỉnh cho các lỗ hổng.
Nhóm nghiên cứu tập trung vào ba cấu phần quan trọng là Infotainment System (hay Head Unit), Telematics Control Unit (TCU hay T-Box) và Central Gateway Module trong nhiều mẫu xe BMW.
Danh sách các lỗ hổng bao gồm:
Việc lợi dụng các lỗ hổng đó có thể cho phép kẻ xấu gửi các thông điệp chẩn đoán tuỳ ý tới bộ phận điều khiển động cơ – bộ phận chủ chốt của xe. Điều đó có nghĩa là chúng có thể kiểm soát toàn bộ hoạt động của ôtô.
Bốn lỗ hổng cần truy cập vật lý tới cổng USB hay cổng ODB (On-board diagnostics), tức là kẻ xấu cần cắm thiết bị có mã độc vào cổng USB. Bốn lỗ hổng khác cần có truy cập vật lý trực tiếp hoặc gián tiếp với chiếc xe. Tuy nhiên, có 6 lỗ hổng có thể bị lợi dụng từ xa, trong đó 01 lỗ hổng có thể bị lợi dụng qua Bluetooth hay mạng di động, ngay cả khi chiếc xe đang chạy.
Nhóm nghiên cứu xác nhận rằng các lỗ hổng trong Head Unit có thể ảnh hưởng tới nhiều loại xe BMW, trong đó có BMW i Series, BMW X Series, BMW 3 Series, BMW 5 Series, BMW 7 Series. Tuy nhiên, các nhà nghiên cứu nói rằng, các lỗ hổng của TCU có thể ảnh hưởng tới những dòng xe BMW được sản xuất từ năm 2012.
BMW đã xác nhận về kết quả nghiên cứu và đã bắt đầu đưa ra các bản cập nhật OTA để khắc phục lỗi của TCU, nhưng các lỗi khác cần được vá bởi những đơn vị bán hàng. BMW còn trao cho các nhà nghiên cứu ở Keen Security Lab giải thưởng nghiên cứu CNTT và số hoá đầu tiên của họ, với nhận xét rằng đây là nghiên cứu toàn diện và phức tạp nhất về các phương tiện của BMW do bên thứ ba thực hiện.
Nguyễn Anh Tuấn
Theo The Hacker News
16:00 | 18/04/2019
08:00 | 27/09/2017
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
16:00 | 06/08/2024
Nhóm tin tặc Stargazer Goblin thực hiện phân phối dưới dạng dịch vụ (DaaS) phần mềm độc hại từ hơn 3.000 tài khoản giả mạo trên GitHub.
14:00 | 22/05/2024
Năm 2023, Việt Nam là quốc gia ghi nhận số vụ tấn công mạng để đánh cắp mật khẩu cao nhất Đông Nam Á, trong tổng số hơn 61 triệu vụ tấn công ghi nhận trong năm 2023
10:00 | 08/05/2024
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.
10:00 | 30/08/2024