Hàng triệu xe ô tô có nguy cơ bị tấn công từ xa qua lỗ hổng nghiêm trọng

Các nhà nghiên cứu tại công ty an ninh mạng PCA Cyber Security vừa phát hiện một loạt lỗ hổng nghiêm trọng, được đặt tên chung là PerfektBlue. Nếu kẻ xấu khai thác các lỗ hổng này có thể cho phép thực hiện tấn công thực thi mã từ xa (Remote Code Execution - RCE), khiến hàng triệu phương tiện có nguy cơ bị xâm nhập và kiểm soát.

08:51, 14/07/2025

BlueSDK của OpenSynergy là một giải pháp Bluetooth được sử dụng rộng rãi trong ngành công nghiệp ô tô, hỗ trợ cả hai chế độ Bluetooth Classic và Bluetooth Low Energy. Thiết kế không phụ thuộc vào phần cứng và khả năng hỗ trợ các chuẩn Bluetooth phổ biến giúp BlueSDK có tính linh hoạt cao. Tuy nhiên, chính tính linh hoạt cho phép nhà sản xuất tùy biến lại theo nhu cầu này cũng tạo ra sự khác biệt về bảo mật và tiềm ẩn lỗ hổng.

 

Chuỗi tấn công PerfektBlue kết hợp nhiều lỗ hổng Bluetooth khác nhau để xâm nhập vào hệ thống giải trí trên xe (infotainment). Kẻ tấn công có thể theo dõi vị trí xe, ghi âm âm thanh, truy cập danh bạ điện thoại, và về mặt lý thuyết, có thể mở rộng sang các chức năng quan trọng khác của xe như hệ thống lái hoặc cần gạt nước - mặc dù các nhà nghiên cứu chưa thể hiện điều này trong thực tế.

Theo cảnh báo từ PCA: "Điều kiện duy nhất để thực hiện tấn công PerfektBlue là ghép nối (pairing) với thiết bị mục tiêu ở mức độ bảo mật đủ cao. Tuy nhiên, do BlueSDK là một bộ khung (framework), nên cách thức ghép nối có thể khác nhau tùy vào nhà sản xuất - một số cho phép ghép nối không giới hạn, một số yêu cầu tương tác từ người dùng, và một số khác có thể vô hiệu hóa hoàn toàn tính năng ghép nối. Trên thực tế, PerfektBlue chỉ cần một lần nhấp chuột từ người dùng để khởi động tấn công qua mạng không dây (over-the-air)".

BlueSDK được tích hợp trong nhiều dòng xe, đặc biệt là của các hãng Mercedes-Benz, Volkswagen và Skoda. Mặc dù các lỗ hổng này chủ yếu ảnh hưởng đến ngành ô tô, các thiết bị khác có hỗ trợ Bluetooth và sử dụng BlueSDK cũng có thể bị ảnh hưởng. Người dùng được khuyến cáo cập nhật phần mềm hệ thống hoặc vô hiệu hóa Bluetooth nếu có thể.

PCA Cyber Security, thành lập vào năm 2019 và trước đây có tên là PCAutomotive, là công ty chuyên về bảo mật cho các thiết bị nhúng thông qua các dịch vụ như kiểm thử xâm nhập (penetration testing), phân tích mối đe dọa (threat intelligence) và giám sát an ninh mạng liên tục. Có trụ sở chính tại Budapest, đội ngũ chuyên gia của PCA không ngừng nghiên cứu, phát triển và hoàn thiện các giao thức nhằm đối phó với những mối đe dọa tinh vi nhất.

Nguyễn Yến (theo CHS)

Bình luận

Tin bài khác

Lỗ hổng eSIM mới cho phép tin tặc sao chép thông tin của bạn
08:32, 14/07/2025

Lỗ hổng eSIM mới cho phép tin tặc sao chép thông tin của bạn

Một lỗ hổng trong hồ sơ kiểm thử eSIM quốc tế cho phép tin tặc sao chép hồ sơ eSIM khi có truy cập vật lý thiết bị. Dù chỉ dùng cho kiểm thử kỹ thuật, lỗ hổng này xuất hiện ngoài thực địa, làm dấy lên lo ngại về bảo mật và tấn công chuỗi cung ứng.

Xem thêm
2015: 10,5 nghìn tỷ USD sẽ bị cuốn phăng vì làn sóng tấn công mạng chưa từng có
08:28, 14/07/2025

2015: 10,5 nghìn tỷ USD sẽ bị cuốn phăng vì làn sóng tấn công mạng chưa từng có

Thiệt hại do tội phạm mạng gây ra được dự báo sẽ đạt 10,5 nghìn tỷ USD mỗi năm vào cuối năm 2025, khiến nó trở thành nền kinh tế lớn thứ ba thế giới nếu được xem như một quốc gia, chỉ sau Mỹ và Trung Quốc...

Xem thêm
Top những xu hướng an ninh mạng nổi bật nhất năm 2025
08:17, 14/07/2025

Top những xu hướng an ninh mạng nổi bật nhất năm 2025

Năm 2025 được xem là thời điểm để các mối đe dọa an ninh mạng phát triển mạnh với các cuộc tấn công do AI điều khiển, phần mềm tống tiền và các chiến dịch thông tin sai lệch tinh vi trở nên phổ biến hơn. Trong bối cảnh đó, cách nào để các cá nhân và các tổ chức có thể ứng phó kịp thời với các mối đe dọa nhằm tránh được tối đa các tổn thất, đó thực sự là một vấn đề hóc búa mà giới chuyên môn vẫn ngày đêm đi tìm lời giải...

Xem thêm
AI - vũ khí được tin tặc sử dụng để đánh cắp 500.000 đô la tiền điện tử
07:58, 12/07/2025

AI - vũ khí được tin tặc sử dụng để đánh cắp 500.000 đô la tiền điện tử

Một kỹ sư người Nga đã mất hơn 500.000 USD tiền điện tử chỉ sau một đêm, sau khi cài nhầm một tiện ích mở rộng tích hợp AI trên nền tảng lập trình. Vụ việc không chỉ là lời cảnh tỉnh cho các nhà phát triển blockchain, mà còn hé lộ chiến dịch tấn công quy mô lớn đang lan rộng trong cộng đồng mã nguồn mở.

Xem thêm
Khoảng 2,3 triệu người dùng trình duyệt Chrome và Edge bị lây nhiễm Trojan
15:49, 11/07/2025

Khoảng 2,3 triệu người dùng trình duyệt Chrome và Edge bị lây nhiễm Trojan

18 tiện ích mở rộng có cơ sở mã “sạch” trong nhiều năm, cho đến một ngày một phiên bản nâng cấp đã biến chúng thành trojan nguy hiểm mà không cần bất kỳ thao tác nào của người dùng. Các nhà nghiên cứu bảo mật cảnh báo rằng hơn 2,3 triệu người dùng vừa bị xâm nhập, nhưng vẫn còn rất nhiều tiện ích mở rộng khác đang trong quá trình ẩn nấp.

Xem thêm
Công ty luật Dechert bị cáo buộc thuê tin tặc để giành chiến thắng trong các vụ kiện
10:17, 11/07/2025

Công ty luật Dechert bị cáo buộc thuê tin tặc để giành chiến thắng trong các vụ kiện

Công ty luật Dechert có trụ sở tại Philadelphia hôm 10/7 đã lên tiếng cho biết hai vụ kiện tại Mỹ cáo buộc họ thuê tin tặc để giành chiến thắng trong các vụ kiện tụng đã được giải quyết mà không có bất kỳ sự thừa nhận trách nhiệm nào.

Xem thêm
Triệt phá đường dây lừa đảo phishing lớn nhằm vào người nộp thuế, bắt 13 nghi phạm
10:09, 11/07/2025

Triệt phá đường dây lừa đảo phishing lớn nhằm vào người nộp thuế, bắt 13 nghi phạm

Cảnh sát Romania hôm 10/7 đã tiến hành các cuộc đột kích vào nhà của hơn một chục nghi phạm liên quan đến một đường dây lừa đảo phishing nhắm vào người nộp thuế Anh, chiếm đoạt 47 triệu bảng Anh từ ngân sách công.

Xem thêm