Cảnh báo hàng loạt ôtô Honda đối diện nguy cơ bị hacker tấn công
06:53 17/07/2022(VietQ.vn) - Thông qua lỗ hổng bảo mật liên quan đến thiết bị key fob sẽ cho phép tin tặc bẻ khóa, tấn công nhiều mẫu xe Honda từ xa. Danh sách các mẫu xe bị ảnh hưởng bao gồm 10 mẫu xe phổ biến nhất của hãng, được sản xuất từ năm 2012 đến 2022.
Cảnh báo: Nhiều chất độc trong đất có thể gây hại cho tim, ung thư
Cảnh báo nguy cơ đến sức khỏe khi sử dụng tam thất kém chất lượng
Cảnh báo: Rau tự trồng chưa chắc sạch, vẫn có thể gây ngộ độc
Các nhà nghiên cứu bảo mật vừa cảnh báo lỗ hổng lớn liên quan đến hệ thống smartkey trên ôtô Honda. Thông qua đó, hacker có thể xâm nhập và khởi động từ xa các mẫu ôtô Honda đang lưu hành trên thị trường, bao gồm cả Honda Civic 2022.
Được gọi bằng cái tên “Rolling-Pwn”, phần mềm này được phát hiện bởi các chuyên gia bảo mật Wesley Li và Kevin2600 đến từ Star-V Lab. Là một phần quan trọng của hệ thống smartkey, key fob sẽ tạo ra các đoạn mã ngẫu nhiên, được thay đổi định kỳ để xác thực người dùng theo thời gian thực.
Lợi dụng lỗ hổng trong quá trình truyền dẫn mã xác thực giữa xe và thiết bị key fob, hacker có thể kiểm soát hoàn toàn hệ thống smartkey trên ôtô Honda và khởi động xe một cách dễ dàng.
Nhiều dòng xe của Honda rất dễ bị hacker tấn công từ xa.
Star-V Lab nhấn mạnh rằng các đợt tấn công này lẽ ra đã có thể được ngăn chặn bởi cơ chế mã cuốn chiếu (rolling-codes). Đây là hệ thống thiết kế để ngăn chặn các cuộc tấn công lặp lại (replay attack) vốn rất phổ biến trong giới hacker. Cụ thể, cứ mỗi lần người dùng bấm vào nút trên key fob, hệ thống rolling-codes sẽ cung cấp một mã xác thực mới để truyền dẫn giữa xe và thiết bị này.
Tuy vậy, Star-V Lab cho hay họ đã phát hiện những mã cũ vẫn có thể được sử dụng lại, tạo thành lỗ hổng cho phép kẻ xấu lợi dụng và truy cập vào hệ thống trên ôtô. Cụ thể, hacker sẽ “nghe trộm” một key fob đã được ghép nối, thu thập các mã được gửi từ thiết bị này. Sau đó, chúng phát lại một chuỗi mã hợp lệ, đồng thời đồng bộ hóa lại Bộ sinh số giả ngẫu nhiên (PRNG) của hệ thống.
Cuối cùng, hacker có thể tái sử dụng một trong những đoạn mã cũ đó để khởi động ôtô.
Danh sách 10 mẫu xe Honda bị ảnh hưởng gồm: Honda Civic 2012, Honda XR-V 2018, Honda CR-V 2020, Honda Accord 2020, Honda Odyssey 2020, Honda Inspire 2021, Honda Fit 2022, Honda Civic 2022, Honda VE-1 2022, Honda Breeze 2022.
Dựa trên những mẫu xe đã thử nghiệm khai thác lỗ hổng thành công, Kevin26000 và Li tin rằng lỗ hổng có thể ảnh hưởng đến tất cả xe Honda, chứ không chỉ 10 xe được liệt kê ở trên. Việc cung cấp bản vá lỗi cho lỗ hổng này cũng không đơn giản. Honda có thể cập nhật thông qua OTA, nhưng vấn đề là một số dòng xe không hỗ trợ OTA. Nếu dự đoán là đúng, số lượng xe bị ảnh hưởng ngày càng lớn khiến việc triệu hồi gần như rất khó xảy ra.
|
Trước đó vào tháng 1, tài khoản Kevin2600 cũng báo cáo về lỗ hổng tấn công lặp lại (CVE-2021-46145). Tuy vậy vấn đề khi ấy nằm ở mã cố địnhnchứ không phải mã cuốn chiếu (rolling code) như phát hiện gần nhất. Honda vào thời điểm đó khẳng định báo cáo của Kevin2600 là phát hiện không chuẩn xác, vì những xe bị phát hiện lỗ hổng sử dụng mã cuốn chiếu. |
Bảo Linh (t/h)
