Tại hội nghị thượng đỉnh phân tích bảo mật Security Analyst Summit 2025, Kaspersky đã công bố một báo cáo cho biết, đang xuất hiện một lỗ hổng bảo mật nghiêm trọng cho phép kẻ xấu truy cập trái phép vào hệ thống điều khiển từ xa của toàn bộ ô tô thuộc một hãng sản xuất.
Bằng cách khai thác lỗ hổng zero-day trong một ứng dụng công khai của đơn vị nhà thầu đối tác, kẻ tấn công hoàn toàn có thể chiếm quyền điều khiển hệ thống của phương tiện. Hành vi tấn công này đe dọa trực tiếp đến an toàn của tài xế và hành khách.
Một lỗ hổng bảo mật trên xe ô tô cho phép tin tặc sang số, tắt động cơ từ xa.
"Ví dụ kẻ tấn công có thể buộc xe sang số hoặc tắt động cơ trong khi đang di chuyển. Phát hiện này một lần nữa gióng lên hồi chuông cảnh báo về những điểm yếu, nguy cơ an ninh mạng tiềm ẩn trong ngành công nghiệp ô tô, kêu gọi việc tăng cường các biện pháp bảo mật toàn diện", báo cáo của Kaspersky nêu rõ.
Chi tiết hơn, thông qua một lỗ hổng zero-day kiểu SQL injection (SQLi) (kỹ thuật tấn công chèn mã độc vào câu lệnh SQL để truy xuất trái phép dữ liệu) trong ứng dụng Wiki, các chuyên gia đã trích xuất được danh sách người dùng phía nhà thầu cùng với các password hash (phiên bản mã hóa một chiều của mật khẩu và không thể đọc trực tiếp).
Do chính sách bảo mật yếu, một số password hash này đã bị giải mã thành công, mở đường cho việc xâm nhập sâu hơn vào hệ thống theo dõi sự cố của nhà thầu (hệ thống quản lý và theo dõi các tác vụ, lỗi hoặc sự cố trong dự án). Ở một số dòng xe hiện đại, hệ thống có lỗ hổng nói trên có thể có chức năng thu thập, truyền tải, phân tích và sử dụng dữ liệu từ phương tiện (như tốc độ, vị trí địa lý, tình trạng xe và hành vi người lái).
Đáng báo động hơn, đội ngũ chuyên gia còn phát hiện một lệnh cập nhật firmware, cho phép tải phiên bản firmware đã bị chỉnh sửa vào bộ điều khiển trên xe. Đồng nghĩa với việc họ có thể truy cập vào mạng truyền thông nội bộ của xe (mạng CAN - Controller Area Network), là hệ thống chịu trách nhiệm kết nối và điều phối hoạt động giữa các bộ phận trên xe như động cơ và cảm biến.
