Phát hiện lỗ hổng zero-day đe dọa an toàn hệ thống ô tô kết nối toàn cầu

Kaspersky công bố phát hiện một lỗ hổng bảo mật nghiêm trọng có thể cho phép tin tặc chiếm quyền điều khiển từ xa toàn bộ ô tô thuộc một hãng sản xuất

Công bố này vừa được nêu ra tại hội nghị Security Analyst Summit 2025, đó là lỗ hổng zero-day nằm trong ứng dụng công khai của nhà thầu đối tác, mở đường cho việc truy cập trái phép vào hệ thống telematics – bộ não điều khiển và thu thập dữ liệu từ xe. Trong kịch bản tấn công thực tế, kẻ xấu có thể buộc xe sang số, tắt động cơ khi đang di chuyển, đe dọa trực tiếp đến an toàn tài xế và hành khách.

Theo Kaspersky, cuộc đánh giá bảo mật được thực hiện từ xa, tập trung vào các dịch vụ công khai của nhà sản xuất và nhà thầu. Các chuyên gia phát hiện một số cổng truy cập bị lộ trên Internet và một lỗ hổng SQL injection trong ứng dụng wiki, giúp họ trích xuất được dữ liệu người dùng và mật khẩu mã hóa. Một phần các mật khẩu này bị giải mã, từ đó truy cập được hệ thống theo dõi sự cố chứa thông tin cấu hình nhạy cảm của hạ tầng telematics, bao gồm tệp chứa password hash của người dùng máy chủ.

Ở phía hệ thống xe kết nối, nhóm chuyên gia phát hiện tường lửa bị cấu hình sai, để lộ máy chủ nội bộ. 

Nhờ thông tin đăng nhập thu được, họ truy cập vào hệ thống tập tin, thậm chí có thể gửi lệnh cập nhật firmware đã chỉnh sửa tới bộ điều khiển telematics (TCU). 

Hành động này cho phép truy cập vào mạng truyền thông nội bộ (CAN) – nơi điều phối động cơ, hộp số và cảm biến, đồng nghĩa với việc có thể kiểm soát nhiều chức năng quan trọng của xe.

Ông Artem Zinenko, Trưởng bộ phận Nghiên cứu và Đánh giá Lỗ hổng Bảo mật ICS CERT của Kaspersky, nhận định: “Các lỗ hổng này bắt nguồn từ những sai sót phổ biến như duy trì mật khẩu yếu, thiếu xác thực hai yếu tố và không mã hóa dữ liệu nhạy cảm. Chỉ một mắt xích yếu trong chuỗi cung ứng cũng có thể khiến toàn bộ hệ thống xe thông minh bị xâm phạm”. 

Kaspersky kêu gọi các hãng xe tăng cường kiểm soát an ninh mạng, đặc biệt với hạ tầng đối tác bên thứ ba, để bảo đảm an toàn cho người dùng và duy trì niềm tin vào công nghệ xe kết nối.