Lỗ hổng chết người của Sirius XM giúp kẻ gian mở khóa hàng loạt ôtô
Thông báo cho thấy những chiếc xe của Honda, Nissan, Infiniti và Acura có thể dễ dàng bị kẻ gian mở khóa bằng phần mềm Sirius XM.
Việc khởi động xe từ xa bằng điện thoại đã không còn quá
xa lạ với người dùng trên thế giới cũng như tại Việt Nam. Tuy
nhiên, cái gì "hiện đại quá cũng hại điện" và có thể dễ dàng bị kẻ
gian "hack" được nếu phần mềm của hãng hay bên thứ 3 nếu có lỗ hổng
chết người.
Mới đây, phần mềm Sirius XM đã buộc phải sửa
một lỗ hổng bảo mật cho phép tin tặc mở khóa, khởi động, định vị,
nhấp nháy và bấm còi từ xa của bất kỳ mẫu xe nào đến từ 4 thương
hiệu Honda, Nissan, Infiniti và Acura nếu được trang bị kết nối từ
xa.
 |
|
Lỗ hổng chết người của SiriusXM có thể giúp kẻ gian mở
khóa, khởi động từ xa loạt xe ôtô của nhiều hãng
|
Một hacker nổi tiếng tên là Sam Curry gần đây đã phát hiện ra
lỗ hổng bảo mật Sirius XMvà trình bày chi tiết quá trình
này trong một loạt các tweet. Sau khi tìm thấy một loạt các lỗ hổng
ảnh hưởng đến các công ty ô tô khác nhau, Curry và nhóm của ông bắt
đầu tìm kiếm một dịch vụ cung cấp dịch vụ viễn thông cho tất cả các
công ty đó. Nó phát hiện ra rằng SiriusXM đã được sử dụng trong tất
cả các phương tiện bị ảnh hưởng và sau đó được xác định thông qua
việc sử dụng ứng dụng NissanConnect rằng có thể kiểm tra và sửa đổi
mã HTTP.
Người ta phát hiện ra rằng SiriusXM đang sử dụng số VIN của xe
để ủy quyền các lệnh và tìm nạp hồ sơ người dùng. Tin tặc đã phát
hiện ra tên, số điện thoại, địa chỉ và thông tin chi tiết về ôtô
của chủ sở hữu, đồng thời cũng có thể ra lệnh cho phương tiện chỉ
bằng cách biết số VIN của ôtô.
 |
| Người ta phát hiện ra rằng SiriusXM đang sử dụng số VIN của xe để ủy quyền các lệnh và tìm nạp hồ sơ người dùng. |
Ngay sau khi phát hiện ra lỗ hổng, Curry và nhóm của anh ấy đã
báo cáo sự cố với SiriusXM, người đã nhanh chóng vá nó.
“Chúng tôi coi trọng vấn đề bảo mật tài khoản của khách hàng
và tham gia vào chương trình tiền thưởng lỗi để tri ân những người
giúp mình xác định và sửa các lỗi bảo mật tiềm ẩn ảnh hưởng đến nền
tảng của chúng tôi,” người phát ngôn của Sirius XM Connected
Vehicle Services nói với The Register.
“Là 1 phần của công việc, một nhà nghiên cứu bảo mật đã gửi
báo cáo tới dịch vụ phương tiện được kết nối của Sirius XM về một
lỗ hổng ủy quyền ảnh hưởng đến một chương trình viễn thông cụ thể.
Vấn đề đã được giải quyết trong vòng 24 giờ sau khi báo cáo được
gửi. Không có bất kỳ người đăng ký hoặc dữ liệu nào khác bị xâm
phạm cũng như không có bất kỳ tài khoản trái phép nào bị sửa đổi
bằng phương pháp này.”
Curry tiết lộ rằng các nhà sản xuất ôtô đã cho phép chủ sở hữu
xác thực dữ liệu thông qua một ứng dụng di động, chẳng hạn như
ứng dụng Nissan Connected và MyHonda.
Thảo Nguyễn
Bạn đang xem: Lỗ hổng chết người của Sirius XM giúp kẻ gian mở khóa hàng loạt ôtô
Chuyên mục: Xe
Các bài liên quan
Chia sẻ bài viết