Thật đáng sợ: Tin tặc có thể khai thác lỗ hổng bảo mật biến nhà rửa xe thành cỗ máy hại người

Tưởng chừng hacker chỉ nhắm tới những chiếc ôtô đang chạy trên đường, nhưng chính lúc tài xế yên tâm ngồi trong nhà rửa xe lại dễ bị tấn công hơn. 

Vấn đề bảo mật thiết bị và xe hơi kết nối Internet trong những năm gần đây càng được quan tâm do lo ngại mất an toàn. Thậm chí, nó không chỉ giới hạn ở các phương tiện đang di chuyển mà còn xảy ra ở những nơi tưởng chừng rất an toàn như nhà rửa xe.

Tin tặc có thể tấn công những thiết bị kết nối Internet như hệ thống nhà rửa xe

Một nhóm các nhà nghiên cứu đã tìm ra lỗ hổng tại trạm rửa ôtô có kết nối Internet tạo điều kiện cho tin tặc tấn công phương tiện và người ngồi trên đó. Thử nghiệm cho thấy tin tặc có khả năng kiểm soát cửa đóng mở của nhà rửa xe để gây tác động vật lý lên ô tô hoặc làm tài xế bị thương, thậm chí nhốt tất cả bên trong.

Billy Rios, người sáng lập công ty bảo mật Whitescope cho biết: “Chúng tôi tin rằng đây là lần đầu tiên phát hiện trường hợp thiết bị có kết nối trở thành công cụ tấn công một ai đó”. Rios đã hợp tác cùng Jonathan Butts của QED Secure Solutions để thực hiện cuộc nghiên cứu. Họ dự định phát biểu tại Hội nghị An nin Black Hat tại Las Vegas.

Những năm qua, Rios đã chứng kiến nhiều tình huống mất an toàn với thiết bị như máy bơm thuốc cho bệnh nhân, máy X-quang dò vũ khí tại sân bay, hệ thống cửa điện tử, báo động, đèn, thang máy và camera giám sát.

Lần này, ông tập trung vào PDQ LaserWash, hệ thổng rửa xe tự động sử dụng cánh tay cơ khí để chùi rửa, phun nước trên phương tiện. Việc rửa xe ở các PDQ khá phổ biến tại Mỹ vì không cần người vận hành. Hệ thống có cửa được lập trình tự động đóng mở cùng màn hình cảm ứng cho phép người dân chọn gói dịch vụ.

Chúng chạy trên Windows CE, đồng thời bố trí cả hệ thống để cho phép kỹ thuật viên cấu hình và giám sát qua internet. Đây chính là vấn đề.

Rios quan tâm tới hệ thống rửa ôtô sau khi nghe một người bạn nói về vụ tai nạn xảy ra cách đây nhiều năm. Kỹ sư phần mềm thiết lập sai lệnh cấu hình dẫn tới hậu quả là cánh tay vật lý đã làm hỏng chiếc xe. Chính điều này thôi thúc ông bắt tay vào nghiên cứu.

Cách đây 2 năm, Rios và McCorkle đã trình bày những phát hiện về lỗ hổng bảo mật phần mềm PDQ tại Hội nghị Kaspersky Security Summit tại Mexico. Dù nêu ra lập luận rằng chúng có thể tạo điều kiện cho hacker xâm nhập hệ thống, nhưng họ chưa thể kiểm chứng thực tế nhận định của mình. Mãi tới năm nay, khi một cơ sở ở tiểu bang Washington đồng ý hợp tác thì các nhà nghiên cứu mới có điều kiện thử nghiệm.

Hệ thống PDQ yêu cầu tên người dùng và mật khẩu truy cập từ xa, nhưng mật khẩu mặc định khá dễ đoán. Họ cũng tìm thấy lỗ hổng ở quá trình xác thực để bỏ qua bước này. Không phải hệ thống PDQ nào cũng có trên mạng, nhưng các nhà nghiên cứu đã tìm được 150 chiếc như vậy thông qua công cụ tìm kiếm Shodan. Họ đã can thiệp để cánh tay vật lý va vào xe hoặc cho nước chảy liên tục để “giam” tài xế trong nhà rửa xe.

Hacker có thể lên kế hoạch tấn công vào ôtô bằng cách lựa chọn địa chỉ IP nhà rửa xe đích, kiểm tra xem thời điểm nào quá trình rửa xe kết thúc. Chúng sẽ gửi lệnh đóng cửa lại, hoặc mở đóng liên tục để tấn công phương tiện.

Mặc dù hệ thống bố trí cảm biến hồng ngoại giúp phát hiện vật thể tại cửa ra vào, nhưng các nhà nghiên cứu có thể vô hiệu hóa tính năng này.

Nếu bạn dựa hoàn vào phần mềm, nó sẽ không hoạt động khi có một lỗ hổng bị khai thác. Điều duy nhất sẽ làm việc trong trường hợp này là cơ chế an toàn của phần cứng”, Rios chia sẻ.

Các nhà nghiên cứu đã quay lại toàn bộ quá trình bằng điện thoại, nhưng chủ nhà rửa xe đã không đồng ý cho công bố. Đây là hồi chuông báo động cho vấn đề an ninh trên các thiết bị có kết nối Internet. Thế giới bước sang cuộc cách mạng 4.0 nhưng cũng tiềm ẩn nhiều rủi ro cần phải tính đến.

Theo Genk

Khối Giáo dục FPT – fpt.edu.vn

Học Viện Mạng và Phần Cứng – jetking.fpt.edu.v