Những lỗ hổng đó được phát hiện trong cuộc kiểm tra an ninh kéo dài từ tháng 01/2017 đến tháng 02/2018 của các nhà nghiên cứu ở Keen Security Lab, đơn vị nghiên cứu an ninh mạng của Tencent.
Tháng 3/2018, nhóm nghiên cứu đã tiết lộ cho BMW Group 14 lỗ hổng đã ảnh hưởng tới xe của hãng từ ít nhất là năm 2012. Đây cũng chính là nhóm nghiên cứu từng phát hiện ra nhiều lỗ hổng có thể lợi dụng để điều khiển từ xa trong các mô-đun trong xe của Tesla.
BMW đã bắt đầu đưa ra các bản vá cho những người mua xe, và các nhà nghiên cứu đã công bố một báo cáo kỹ thuật dài 26 trang nhưng không công bố những chi tiết quan trọng để tránh bị lợi dụng.
Các nhà nghiên cứu cho biết, bản báo cáo đầy đủ sẽ được công bố vào khoảng đầu năm 2019, khi hãng BMW đã có biện pháp xử lý hoàn chỉnh cho các lỗ hổng.
Nhóm nghiên cứu tập trung vào ba cấu phần quan trọng là Infotainment System (hay Head Unit), Telematics Control Unit (TCU hay T-Box) và Central Gateway Module trong nhiều mẫu xe BMW.
Danh sách các lỗ hổng bao gồm:
Việc lợi dụng các lỗ hổng đó có thể cho phép kẻ xấu gửi các thông điệp chẩn đoán tuỳ ý tới bộ phận điều khiển động cơ – bộ phận chủ chốt của xe. Điều đó có nghĩa là chúng có thể kiểm soát toàn bộ hoạt động của ôtô.
Bốn lỗ hổng cần truy cập vật lý tới cổng USB hay cổng ODB (On-board diagnostics), tức là kẻ xấu cần cắm thiết bị có mã độc vào cổng USB. Bốn lỗ hổng khác cần có truy cập vật lý trực tiếp hoặc gián tiếp với chiếc xe. Tuy nhiên, có 6 lỗ hổng có thể bị lợi dụng từ xa, trong đó 01 lỗ hổng có thể bị lợi dụng qua Bluetooth hay mạng di động, ngay cả khi chiếc xe đang chạy.
Nhóm nghiên cứu xác nhận rằng các lỗ hổng trong Head Unit có thể ảnh hưởng tới nhiều loại xe BMW, trong đó có BMW i Series, BMW X Series, BMW 3 Series, BMW 5 Series, BMW 7 Series. Tuy nhiên, các nhà nghiên cứu nói rằng, các lỗ hổng của TCU có thể ảnh hưởng tới những dòng xe BMW được sản xuất từ năm 2012.
BMW đã xác nhận về kết quả nghiên cứu và đã bắt đầu đưa ra các bản cập nhật OTA để khắc phục lỗi của TCU, nhưng các lỗi khác cần được vá bởi những đơn vị bán hàng. BMW còn trao cho các nhà nghiên cứu ở Keen Security Lab giải thưởng nghiên cứu CNTT và số hoá đầu tiên của họ, với nhận xét rằng đây là nghiên cứu toàn diện và phức tạp nhất về các phương tiện của BMW do bên thứ ba thực hiện.
Nguyễn Anh Tuấn
Theo The Hacker News
16:00 | 18/04/2019
08:00 | 27/09/2017
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024