Cảnh báo khẩn đến các chủ xe Mercedes, Volkswagen, Skoda: Ai cũng có thể thành nạn nhân khi mở thứ này

Hiện Volkswagen đang điều tra và đưa ra cảnh báo.

Các nhà nghiên cứu bảo mật tại PCA Cyber Security vừa công bố phát hiện về bốn lỗ hổng nghiêm trọng trong ngăn xếp Bluetooth BlueSDK, được gọi chung là "PerfektBlue". Những lỗ hổng này có thể liên kết với nhau để cho phép thực thi mã từ xa (RCE), mở ra cánh cửa cho kẻ tấn công kiểm soát hệ thống thông tin giải trí của xe ô tô và thực hiện các hành vi độc hại.

BlueSDK và nguy cơ tiềm ẩn

BlueSDK là một nền tảng Bluetooth được sử dụng rộng rãi bởi nhiều nhà cung cấp trong các ngành công nghiệp khác nhau, bao gồm các hãng sản xuất ô tô lớn như Mercedes, Volkswagen và Skoda. Về mặt lý thuyết, nếu bị khai thác, những lỗ hổng này có thể cho phép kẻ tấn công:

- Kết nối với hệ thống thông tin giải trí của xe.

- Nghe lén các cuộc trò chuyện.

- Lấy danh sách liên lạc từ các thiết bị được kết nối.

- Theo dõi tọa độ GPS của xe.

Chi tiết về các lỗ hổng

Bốn lỗ hổng bảo mật này được PCA Cyber Security phát hiện và định danh lần lượt là CVE-2024-45434, CVE-2024-45431, CVE-2024-45433 và CVE-2024-45432. Mức độ nghiêm trọng của chúng dao động từ thấp đến cao và chúng nằm trong các thành phần khác nhau của ngăn xếp BlueSDK.

Để lợi dụng các lỗ hổng "PerfektBlue", kẻ tấn công chỉ cần một hành động đơn giản từ nạn nhân: chấp nhận yêu cầu ghép nối thiết bị Bluetooth với xe. Đáng lo ngại hơn, trên một số xe, quá trình này có thể diễn ra tự động mà không cần sự can thiệp của người dùng, làm tăng rủi ro tiềm ẩn.

Lộ trình vá lỗi và tình hình hiện tại

PCA Cyber Security đã báo cáo phát hiện của mình cho OpenSynergy, công ty bảo trì BlueSDK Bluetooth, vào tháng 6 năm 2024. Một bản sửa lỗi đã được triển khai vào tháng 9 cùng năm. Tuy nhiên, vấn đề nằm ở chỗ bản sửa lỗi này sau đó phải được các nhà sản xuất ô tô áp dụng vào sản phẩm của họ. Theo PCA Cyber Security, tính đến thời điểm hiện tại, việc này vẫn chưa được thực hiện đầy đủ.

Volkswagen lên tiếng và đánh giá rủi ro

Hiện tại, chỉ có Volkswagen đang điều tra vấn đề này. Hãng đã đưa ra một danh sách khá dài các điều kiện tiên quyết cần phải đáp ứng trước khi lỗ hổng này có thể bị khai thác, ám chỉ rằng rủi ro không lớn đến vậy. Các điều kiện này bao gồm:

- Khoảng cách: Kẻ tấn công phải ở trong khoảng cách tối đa từ 5 đến 7 mét so với xe và phải duy trì khoảng cách đó trong suốt cuộc tấn công.

- Trạng thái xe: Xe phải được bật đánh lửa.

- Chế độ hệ thống: Hệ thống thông tin giải trí phải ở chế độ ghép nối.

- Tương tác người dùng: Người sử dụng xe phải chủ động chấp thuận quyền truy cập Bluetooth bên ngoài của kẻ tấn công trên màn hình.

Mặc dù việc khai thác lỗ hổng này có vẻ phức tạp, nhưng sự chậm trễ trong việc áp dụng bản vá lỗi từ các nhà sản xuất ô tô vẫn là một mối lo ngại đáng kể. Người dùng xe nên cảnh giác và theo dõi các thông báo cập nhật phần mềm từ hãng xe của mình để đảm bảo an toàn cho phương tiện.