Hàng loạt ôtô Honda đối diện nguy cơ bị hacker tấn công

Bảo mật

Các nhà nghiên cứu bảo mật vừa cảnh báo một lỗ hổng lớn liên quan đến hệ thống smartkey trên ôtô Honda.

Thông qua đó, hacker có thể xâm nhập và khởi động từ xa các mẫu ôtô Honda đang lưu hành trên thị trường, bao gồm cả Honda Civic 2022.

Được gọi bằng cái tên “Rolling-Pwn”, phần mềm này đã được phát hiện bởi các chuyên gia bảo mật Wesley Li và Kevin2600 đến từ Star-V Lab.

Kevin2600 thông báo về lỗ hổng bảo mật Rolling-Pwn trên Twitter cá nhân.

Là một phần quan trọng của hệ thống smartkey, key fob sẽ tạo ra các đoạn mã ngẫu nhiên, được thay đổi định kỳ để xác thực người dùng theo thời gian thực.

Lợi dụng lỗ hổng trong quá trình truyền dẫn các mã xác thực giữa xe và thiết bị key fob, hacker có thể kiểm soát hoàn toàn hệ thống smartkey trên ôtô Honda và khởi động xe một cách dễ dàng.

Star-V Lab nhấn mạnh rằng các đợt tấn công này lẽ ra đã có thể được ngăn chặn bởi cơ chế mã cuốn chiếu (rolling-codes). Đây là hệ thống được thiết kế để ngăn chặn các cuộc tấn công lặp lại (replay attack) vốn rất phổ biến trong giới hacker.

Cụ thể, cứ mỗi lần người dùng bấm vào nút trên key fob, hệ thống rolling-codes sẽ cung cấp một mã xác thực mới để truyền dẫn giữa xe và thiết bị này.

Tuy vậy, Star-V Lab cho hay họ đã phát hiện những mã cũ vẫn có thể được sử dụng lại, tạo thành lỗ hổng cho phép kẻ xấu lợi dụng và truy cập vào hệ thống trên ôtô.

Cụ thể, hacker sẽ “nghe trộm” một key fob đã được ghép nối, thu thập các mã được gửi từ thiết bị này. Sau đó, chúng phát lại một chuỗi các mã hợp lệ, đồng thời đồng bộ hóa lại Bộ sinh số giả ngẫu nhiên (PRNG) của hệ thống.

Cuối cùng, hacker có thể tái sử dụng một trong những đoạn mã cũ đó để khởi động ôtô.

Honda Civic sáng đèn và phát ra tiếng kêu khi được thử nghiệm Rolling-Pwn. Ảnh: Jalopnik.

Tính đến thời điểm hiện tại, danh sách các mẫu ôtô Honda được các chuyên gia xác nhận bị ảnh hưởng bao gồm: Honda Civic 2012, Honda XR-V 2018, Honda CR-V 2020, Honda Accord 2020, Honda Odyssey 2020, Honda Inspire 2021, Honda Fit 2022, Honda Civic 2022, Honda VE-1 2022 và Honda Breeze 2022.

Trong một tuyên bố gửi đến The Drive, Honda ban đầu nhấn mạnh rằng công nghệ trong các key fob của họ "sẽ không xuất hiện lỗ hổng bảo mật như được trình bày trong báo cáo".

Tuy vậy, khi trả lời TechCrunch, Chris Naughton - người phát ngôn của Honda - cho biết hãng “có thể xác nhận xằng hoàn toàn có thể sử dụng các công cụ cũng như kỹ thuật tinh vi để sao chép các đoạn mã lệnh trên hệ thống smartkey, qua đó sở hữu quyền truy cập vào một số ôtô của Honda”.

Chris Naughton đồng thời trấn an rằng các đợt tấn công này đòi hỏi tín hiệu phải được truyền đi liên tục ở cự ly gần, do đó khả năng ôtô bị chiếm quyền để điều khiển trên đường là không khả thi.

Vị này cũng chia sẻ Honda luôn thường xuyên cải thiện các tính năng bảo mật trên các mẫu xe mới, do đó lỗ hổng này cũng như các vấn đề bảo mật tương tự có khả năng xuất hiện trong tương lai đều sẽ được ngăn chặn dễ dàng.

Trước đó vào tháng 1, tài khoản Kevin2600 cũng đã báo cáo về lỗ hổng tấn công lặp lại (CVE-2021-46145). Tuy vậy vấn đề khi ấy nằm ở mã cố định, chứ không phải mã cuốn chiếu (rolling code) như phát hiện gần nhất.

Honda vào thời điểm đó khẳng định báo cáo của Kevin2600 là những phát hiện không chuẩn xác, vì những xe bị phát hiện lỗ hổng sử dụng mã cuốn chiếu.

(Theo Zing)

Gửi bình luận

Bài viết cùng chuyên mục

Quan chức Alibaba bị triệu tập vì vụ lộ dữ liệu 1 tỷ công dân Trung Quốc

icon 0

Các quan chức và kỹ thuật viên cấp cao của tập đoàn Alibaba đã bị cảnh sát Thượng Hải triệu tập vào ngày 3/7 sau khi cơ quan này là nạn nhân của một trong các vụ xâm phạm dữ liệu lớn nhất lịch sử.

2 phụ nữ bị lừa hàng tỷ đồng vì tham gia giật đơn hàng ảo, cảnh báo 3 thủ đoạn lừa đảo qua sàn thương mại điện tử mà chị em cần lưu ý icon 0

Sau khi thuyết phục người tham gia chuyển khoản số tiền lớn, kẻ lừa đảo sẽ chặn mọi liên lạc và xóa mọi dấu vết.

Bị lừa mất gần 340 triệu đồng khi tham gia sàn giao dịch tiền ảo

icon 0

Trong tháng 6, nhận được lời mời tham gia “đầu tư sàn ngoại hối” với lãi suất cao, 1 người dân hiện sống tại Long Biên, Hà Nội đã bị lừa đảo tổng số tiền 338 triệu đồng.

Có tới 3,4 triệu người Việt sử dụng mật khẩu 123456 icon 0

Mật khẩu đăng nhập dễ đoán và quá yếu là lý do khiến người dùng bị hack tài khoản, dẫn đến nhiều hệ luỵ như bị lừa đảo, mất tài khoản, lộ dữ liệu cá nhân...

Cảnh báo chiến dịch phishing nhằm vào hơn 10.000 tổ chức qua Office 365icon0Microsoft vừa đưa ra cảnh báo về chiến dịch tấn công phishing AiTM quy mô lớn nhằm vào hàng chục ngàn tổ chức từ tháng 9/2021.

CMC Telecom “ẵm trọn” 2 giải quốc tế về đơn vị Hạ tầng số xuất sắc

icon 0

Vừa qua, CMC Telecom chiến thắng hai giải thưởng quốc tế lớn về đơn vị Hạ tầng số Xuất sắc nhất là 'An ninh mạng về Trung tâm dữ liệu Việt Nam 2022' và “Nhà cung cấp dịch vụ đám mây của năm 2022” do Tạp chí IBM bình chọn.

Xác thực không mật khẩu có thể tạo ra cách mạng bảo vệ dữ liệu người dùng

icon 0

Nhấn mạnh sự cần thiết sử dụng các giải pháp xác thực mạnh, đại diện Cục An toàn thông tin, Bộ TT&TT cho rằng, phương thức xác thực không mật khẩu có thể tạo ra cách mạng bảo vệ dữ liệu người dùng.

Bộ Giáo dục thông tin về nghi vấn rao bán dữ liệu 30 triệu hồ sơ người dùng

icon 0

Bộ GD&ĐT cho biết, hiện Bộ đang phối hợp với các cơ quan chức năng của các Bộ TT&TT, Công an để tiếp tục xác minh, đồng thời tiếp tục rà quét, kiểm tra các hệ thống bảo mật để đảm bảo an toàn thông tin.

Xây dựng SOC tự động, thông minh với Cortex XSOAR icon 0

Nền tảng học máy Cortex® XSOAR đàm bảo cho các trung tâm điều hành an ninh của khách hàng hoạt động bảo mật tinh gọn và hiệu quả hơn.

Liên tục được cảnh báo, người dân vẫn mất 1,2 tỷ đồng vì lừa đảo tuyển cộng tác viên online

icon 0

Trong các tháng gần đây, các cơ quan chuyên môn thuộc Bộ TT&TT và Bộ Công an liên tục có cảnh báo về hình thức lừa đảo qua mời chào tuyển cộng tác viên xử lý đơn hàng cho các sàn thương mại điện tử để chiếm đoạt tài sản.

XEM THÊM BÀI VIẾT