Nghiên cứu lần này được mở rộng dựa trên những phát hiện trước đó vào cuối năm 2022, khi nhà nghiên cứu Sam Curry (Yuga Labs) báo cáo về lỗ hổng liên quan đến dịch vụ viễn thông của SiriusXM, khiến hàng triệu ô tô của 16 nhà sản xuất có thể bị tấn công từ xa.
 |
Theo các nhà nghiên cứu, lỗ hổng liên quan đến dịch vụ viễn thông trên ô tô, cho phép tin tặc xác định vị trí phương tiện từ xa, mở khóa và khởi động xe, nhấp nháy đèn, bấm còi, bật cốp và truy cập các thông tin nhạy cảm, bao gồm tên, số điện thoại, địa chỉ... của chủ sở hữu phương tiện.
Lỗ hổng nghiêm trọng nhất liên quan đến giải pháp viễn thông của Spireon, có thể đã được kẻ gian khai thác để thực thi mã tùy ý.
Các lỗ hổng được xác định trên Mercedes-Benz có thể cấp quyền truy cập vào các ứng dụng nội bộ thông qua sơ đồ xác thực đăng nhập một lần (SSO) được định cấu hình không đúng cách, trong khi những lỗ hổng khác có thể cho phép kẻ tấn công tiếp quản tài khoản người dùng và tiết lộ thông tin nhạy cảm.
Các lỗ hổng khác cho phép truy cập hoặc sửa đổi hồ sơ khách hàng, cổng thông tin đại lý nội bộ, theo dõi vị trí GPS của xe theo thời gian thực, quản lý dữ liệu biển số xe và thậm chí cập nhật trạng thái xe là "bị đánh cắp".
Mặc dù tất cả các lỗ hổng bảo mật đã được các nhà sản xuất có liên quan khắc phục, nhưng những phát hiện này nhấn mạnh sự cần thiết của chiến lược defense-in-depth, sử dụng mô hình nhiều lớp để ngăn chặn các mối đe dọa và giảm thiểu rủi ro.
Sandeep Singh, giám đốc cấp cao về dịch vụ kỹ thuật tại HackerOne, cho biết có đến 84,5% các cuộc tấn công ô tô được thực hiện từ xa”.